СПИСОК СОКРАЩЕНИЙ И УСЛОВНЫХ ОБОЗНАЧЕНИЙ 4
СПИСОК ТЕРМИНОВ 5
ВВЕДЕНИЕ 7
ГЛАВА 1 9
1.1. ИНФРАСТРУКТУРА КОМПЬЮТЕРНОЙ СЕТИ ПРЕДПРИЯТИЯ 10
1.2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ КОМПЬЮТЕРНОЙ
ИНФРАСТРУКТУРЫ 12
1.3. СПОСОБЫ ПРОВЕРКИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В
КОМПЬЮТЕРНЫХ СЕТЯХ 14
1.4. ОСОБЕННОСТИ ПРОВЕДЕНИЯ ТЕСТИРОВАНИЯ НА
ПРОНИКНОВЕНИЕ 16
1.5. МЕТОДЫ ОБУЧЕНИЯ И ПРОВЕРКИ НАВЫКОВ ТЕСТИРОВАНИЯ
НА ПРОНИКНОВЕНИЕ 20
1.6. СУЩЕСТВУЮЩИЕ РАЗРАБОТКИ 24
1.7. АНАЛИЗ И СРАВНЕНИЕ СПИСКОВ УЯЗВИМОСТЕЙ 27
1.8 ВЫВОДЫ ПО ГЛАВЕ 1 29
ГЛАВА 2 31
2.1. ТРЕБОВАНИЯ К РАЗРАБАТЫВАЕМОМУ ПРОДУКТУ 31
2.2. МОДЕЛЬ УЯЗВИМОЙ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ 33
2.3. АРХИТЕКТУРА ПРОГРАММНОГО ПРОДУКТА
АВТОМАТИЗИРОВАННОГО СОЗДАНИЯ УЯЗВИМОЙ ВИРТУАЛЬНОЙ ИНФРАСТРУКТУРЫ 34
2.4. ВЫБОР ТЕХНОЛОГИИ ВИРТУАЛИЗАЦИИ 36
2.5. РАЗРАБОТКА БАЗОВЫХ ОБРАЗОВ КОНЕЧНЫХ УСТРОЙСТВ 42
2.6. РАЗРАБОТКА УЯЗВИМЫХ МОДУЛЕЙ 45
2.7. РАЗРАБОТКА АДМИНИСТРАТИВНОЙ ПАНЕЛИ 50
ЗАКЛЮЧЕНИЕ 54
БИБЛИОГРАФИЧЕСКИЙ СПИСОК 56
ПРИЛОЖЕНИЕ 1. ПРОГРАММНЫЙ КОД ОБЪЕКТОВ МОДЕЛИ 63
ПРИЛОЖЕНИЕ 2. СОДЕРЖИОЕ ШАБЛНА ФАЙЛА КОНФИГУРАЦИИ 67
ПРИЛОЖЕНИЕ 4. ПРОГРАММНЫЙ КОД, СОДЕРЖАЩИЙ УЯЗВИМОСТЬ "ВНЕДРЕНИЕ КОДА" 69
ПРИЛОЖЕНИЕ 5. ПРОГРАММНЫЙ КОД, СОДЕРЖАЩИЙ УЯЗВИМОСТЬ
НЕКОРРЕКТНОЙ АУТЕНТИФИКАЦИИ 70
Согласно данным Генеральной прокуратуры РФ, за первую половину 2019 года правоохранительными органами было зарегистрировано увеличение количества преступлений, совершаемых с использованием информационных технологий или в сфере компьютерной информации [Статистический сборник “Состояние преступности в России за июль 2019 г.”]. В связи с этим существует дефицит квалифицированных кадров, занимающихся аудитом информационной безопасности предприятий. Наиболее актуальным навыком таких специалистов является умение поиска и эксплуатации уязвимостей.
Кроме того, с 2017 по настоящее время наблюдается ежегодный рост количества выпускников, обучавшихся по образовательным программам специальностей и направлений подготовки 10.00.00 «Информационная безопасность» (рис. 1). [Первый рейтинг «Подготовка кадров для ИТ-отрасли в регионах»] [Анализ состояния системы подготовки специалистов в области информационной безопасности, с. 5-6]
Рис 1. Динамика количества выпускников образовательных организаций по
группе специальностей и направлений подготовки 10.00.00 «Информационная
безопасность»
Выпускники ВУЗов при этом испытывают недостаток практических навыков, которыми они должны обладать после обучения. Связано это с акцентом на преподавание преимущественно теоретического материала [Пантюхин И.С., Дранник А.Л., Птицын, с. 190-191]. Для решения данной проблемы необходимо разрабатывать занятия на современном оборудовании и ПО, ориентированные именно на практические аспекты ИБ. Однако создание таких заданий для проведения занятий связано с большими затратами труда, времени и ресурсов.
Последующая проверка практических навыков связана с теми же затратами ресурсов. Кроме того, она требует разработки дополнительных заданий, так как проверка знаний на обучающем материале не позволяет достоверно оценить навыки.
Кроме того, как показывают исследования [A virtual environment for the enactment of realistic cyber security scenarios, c. 1-2], компаниям, занимающимся практическими аспектами информационной безопасностями, такими как тестирование на проникновение и аудитом ИБ, приходится затрачивать большое количество времени и ресурсов для создания собственных тестовых лабораторных для оценки навыков поиска и эксплуатации уязвимостей компьютерных инфраструктур.
Сэкономить время в данном случае помогло бы средство, благодаря которому автоматизировано создавались и настраивались виртуальные лабораторные стенды для проверки навыков.
В связи со всем вышеперечисленным, целью данной работы является: разработать программный продукт для автоматизированного создания уязвимых виртуальных инфраструктур с заданными конфигурациями, использование которых позволит сэкономить время и ресурсы компании, а также объективно оценить практические навыки и умения испытуемого при приеме на работу на должность, связанную с информационной безопасностью.
Для достижения поставленной цели были выделены следующие задачи:
• Исследование особенностей проведения тестирования на проникновение и выделение навыков, которые требуются от специалиста;
• Построение модели уязвимой виртуальной инфраструктуры;
• Исследование существующих разработок в сфере создания виртуальных стендовых лабораторных;
• Исследование особенностей автоматизированного создания виртуальной инфраструктуры и внедрения уязвимостей в них;
• Разработка базового образа операционной системы;
• Разработка базы модулей, содержащих уязвимости, готовых для внедрения в базовый образ;
• Разработка метода внедрения уязвимых модулей в базовый образ;
• Разработка метода создания сети виртуальных машин - виртуальной инфраструктуры;
• Разработка административной панели, которая позволяет производить настройку, запуск и администрирование виртуальной инфраструктуры;
• Тестирование и апробация программного продукта на примере создания наборов инфраструктур с заданными уязвимостями
В рамках данной работы были проанализированы методы проверки практических навыков и умений специалиста по тестированию на проникновение в информационную инфраструктуру, обоснована их необходимость, а также показана актуальность исследований в данной области.
В ходе работы было показано, что существующие методы проверки навыков имеют как положительные, так и отрицательные стороны. Основной выделенной проблемой указанных методов является большая трата времени и ресурсов, которые затрачивают сотрудники при подготовке к проведению оценки испытуемого.
Для решения данной проблемы была поставлена цель: разработать программный продукт для автоматизированного создания уязвимых виртуальных инфраструктур с заданными конфигурациями, использование которых позволит сэкономить время и ресурсы компании, а также объективно оценить практические навыки и умения испытуемого при приеме на работу на должность, связанную с информационной безопасностью.
Для достижения поставленной цели были выделены следующие задачи:
• Исследование особенностей проведения тестирования на проникновение и выделение навыков, которые требуются от специалиста;
• Построение модели уязвимой виртуальной инфраструктуры;
• Исследование существующих разработок в сфере создания виртуальных стендовых лабораторных;
• Исследование особенностей автоматизированного создания виртуальной инфраструктуры и внедрения уязвимостей в них;
• Разработка базового образа операционной системы;
• Разработка базы модулей, содержащих уязвимости, готовых для внедрения в базовый образ;
• Разработка метода внедрения уязвимых модулей в базовый образ;
• Разработка метода создания сети виртуальных машин - виртуальной инфраструктуры;
• Разработка административной панели, которая позволяет производить настройку, запуск и администрирование виртуальной инфраструктуры;
• Тестирование и апробация программного продукта на примере создания наборов инфраструктур с заданными уязвимостями
В ходе решения поставленных задач были разработаны ролевая модель и требования, предъявляемые к ПО на основании ролей, а также уже существующих разработок. На базе данных требований была разработана и реализована архитектура программного продукта для быстрого создания виртуальных машин, внедрения в них разработанных программных модулей и объединение их в виртуальную инфраструктуру, имитирующую реальную, на основе заданных оператором параметров.
Разработанные модули позволяют проверить у испытуемого знания основных популярных уязвимостей, согласно рейтингу “OWASP TOP-10”, а также навыки владения основными инструментами, применяющимися специалистами по тестированию на проникновение на различных этапах модели “Cyber Kill-chain”. Следовательно, виртуальная инфраструктура, получаемая в результате работы программы, может быть использована для объективной оценки навыков специалиста.
Таким образом задачи решены в полном объеме, а цель - достигнута.
1. Abedin M., Nessa S., Al-Shaer E., Khan L. Vulnerability analysis for evaluating quality of protection of security policies // URL: https://dl.acm.Org/doi/abs/10.1145/1179494.1179505 (Дата обращения: 08.01.2020)
2. Azam M. H. N., Beuran R. Usability Evaluation of Open Source and Online
Capture the Flag Platforms // URL.:
https://pdfs.semanticscholar.org/6eea/33700e1b81d82950eaae453950ac75b2cc
77. pdf (Дата обращения: 06.01.2020)
3. Chothia T., Novakovic C. An Offline Capture The Flag-Style Virtual Machine and an Assessment of its Value for Cybersecurity Education. // URL: https://research.birmingham.ac.uk/portal/files/21428839/BhamEduVM.pdf (Дата обращения: 15.11.2019)
4. Doupe A., Cova M., Vigna G. Why Johnny can’t pentest: An analysis of black¬
box web vulnerability scanners //International Conference on Detection of Intrusions and Malware, and Vulnerability Assessment. - Springer, Berlin, Heidelberg, 2010. - С. 111-131. URL:
https: //www.academia.edu/19774354/Why Johnny Can t Pentest An Analy sis of Black-Box Web Vulnerability Scanners
5. Furfaro A., Piccolo A., Parise A., Argento L., Sacca D. A Cloud-based platform
for the emulation of complex cybersecurity scenarios // URL: https://sciencedirect.com/science/article/pii/S0167739X1630704X (Дата
обращения: 17.12.2019)
6. Furfaro A., Piccolo A., Sacca D., Parise A. A virtual environment for the enactment of realistic cyber security scenarios // URL.: https: //ieeexplore.ieee.org/abstract/document/7847720 (Дата обращения: 05.01.2020)
7. Hill J.M.D., Carver C.A., Humphries J.W., Pooch U.W. Using an Isolated Network Laboratory to Teach Advanced Networks and Security // URL:
https://dl.acm.org/doi/abs/10.1145/366413.364533 (Дата обращения:
30.10.2019)
8. Houmb S.H., Franqueria V.N.L., Engum E.A. Quantifying security risk level
from CVSS estimates of frequency and impact // URL: https://www.sciencedirect.com/science/article/pii/S0164121209002155 (Дата
обращения: 21.12.2019)
9. Hutchins E.M., Cloppert M.J., Amin R.M. Intelligence-Driven Computer Network Defense informed by Analysis of Adversary Campaigns and intrusion Kill Chains
10. Kapellas A. A thesis in malware development. // URL.:
http: //dione.lib .unipi. gr/xmlui/bitstream/handle/unipi/11190/Kapellas mte1604 .pdf?sequence=2 (Дата обращения: 05.01.2019)
11. Papanikolaou A., Vlachos V., Venieris A., Ilioudis C., Papapanagiotou K.,
Stasinopoulos A. A framework for teaching network security in academic environments // URL:
https://www.emerald.com/insight/content/doi/10.1108/IMCS-11-2011- 0056/full/html (Дата обращения: 30.11.2019)
12.Schreuders Z.C., Ardern L. Generating randomised virtualised scenarios for ethical hacking and computer security education. // URL: http://z.cliffe.schreuders.org/publications/VibrantWorkshop2015%20- %20Generating%20randomised%20virtualised%20scenarios%20for%20ethica l%20hacking%20and%20computer%20security%20education%20%28SecGen %29.pdf (Дата обращения: 15.11.2019)
13.Schreuders Z. C., Shaw T., Muireadhaigh A. M., Staniforth P. Hackerbot: Attacker Chatbots for Randomised and Interactive Security Labs, Using SecGen and oVirt // URL:
https://usenix.org/system/files/conference/ase18/ase18 hackerbot.pdf (Дата
обращения: 17.12.2019)
14. Schuett M., Rahman S.M. Information Security Synthesis in Online Universities // URL.: https://arxiv.org/abs/1111.1771 (Дата обращения: 06.01.2020)
15.Spring J. M., Hatleback E. Thinking about intrusion kill chains as mechanisms. // URL.:
https://academic.oup.cOm/cybersecurity/article/3/3/185/2804698#110793433 (Дата обращения: 30.11.2019)
16.Szefer J., Lee R. B. Architectural support for hypervisor-secure virtualization //ACM SIGPLAN Notices. - 2012. - Т. 47. - №. 4. - С. 437-450. URL: https://dl.acm.org/doi/abs/10.1145/2248487.2151022 (Дата обращения: 19.02.2019)
17. Tarnowski I. How to use cyber kill chain model to build cybersecurity? // URL.: https://www.eunis.org/download/TNC2017/TNC17-IreneuszT arnowski- cybersecurity.pdf (Дата обращения: 06.01.2019)
18. Tierney S. Knowledge discovery in cyber vulnerability databases. // URL: https://citeseerx.ist.psu.edu/viewdoc/download?doi=10.1.1.115.6680&rep=rep 1&type=pdf (Дата обращения: 09.12.2019)
19. Wichers D., Williams J. Owasp top-10 2017 // OWASP Foundation. - 2017. URL: https: //owasp.org/www-proj ect-top-ten/ (Дата обращения: 09.01.2019)
20. Yadav T., Rao A.M. Technical Aspects of Cyber Kill Chain // URL.:
https://link.springer.com/chapter/10.1007/978-3-319-22915-7 40 (Дата
обращения: 02.11.2019)
21. Аверченков В.И. Аудит информационной безопасности: учеб. пособие. Брянск: БГТУ, 2005. 269 с.
22. Аверченков В.И., Рытов М.Ю., Кувыклин А.В., Рудановский М.В. Аудит информационной безопасности органов исполнительной власти: учеб. пособие. 3-е изд., стереотип. Москва: ФЛИНТА, 2011. 100 с
23. Алексеев А. Л., Красноперова Е. А., Вахрушева Е. А. Гипервизоры и виртуальные машины // ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ В НАУКЕ, ПРОМЫШЛЕННОСТИ И ОБРАЗОВАНИИ. - 2019. - С. 121-128.
24. Адрова Л. С., Полежаев П. Н. Сравнительный анализ существующих
технологий контейнеризации. - 2016. URL:
http://elib.osu.rU/bitstream/123456789/1955/1/2473-2477.pdf (Дата
обращения: 09.03.2019)
25. Артамонова А. А. СРАВНЕНИЕ ГИПЕРВИЗОРНОЙ И КОНТЕЙНЕРНОЙ ТЕХНОЛОГИЙ ВИРТУАЛИЗАЦИИ //Аллея науки. - 2018. - Т. 8. - №. 5. - С. 1146-1152.
26. Бегаев А.Н., Бегаев С.Н., Федотов В.А. Тестирование на проникновение. СПб: Университет ИТМО, 2018. 45 с.
27. Варлатая С.К., Файзенгер А.А., Тимофеева А.И. Определение уязвимостей информационных систем как способ снижения угрозы. // URL: http://izron.ru/articles/aktualnye-voprosy-tekhnicheskikh-nauk-v- sovremennykh-usloviyakh-sbomik-nauchnykh-trudov-po-itogam-m/sektsiya- 20-informatsionnye-tekhnologii/opredelenie-uyazvimostey-informatsionnykh- sistem-kak-sposob-snizheniya-ugrozy/ (Дата обращения: 03.12.2019)
28. Вяткин Р. В., Никитина О. И. СРАВНЕНИЕ ВИРТУАЛЬНЫХ МАШИН
//Институты и механизмы инновационного развития: мировой опыт и российская практика. - 2017. - С. 230-233. URL:
https://www.elibrary.ru/download/elibrary 31756031 58799569.pdf (Дата
обращения: 09.03.2019)
29. Горбунов К.С., Семакин А.Е., Зулькарнеев И.Р. Организация
внутривузовских соревнований по информационной безопасности в формате CTF. // URL.:
http: //dspace.kgsu.ru/xmlui/bitstream/handle/123456789/4438/%20%20%20- %20%20 2016%20%20. pdf?sequence= 1 #page=12 (Дата обращения:
06.10.2019)
30. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения // URL.: http://docs.cntd.ru/document/1200057516 (Дата обращения: 30.10.2019)
31. ГОСТ Р. 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. - 2009.
URL: http://docs.cntd.ru/document/1200075565 (Дата обращения:
30.10.2019)
32. ГОСТ Р. ИСО/МЭК 27001-2006. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования //М.: Госстандарт России. - 2008. URL: http://www.gociss.ru/doc/13.GOST R ISO MEK 27001-
2006.pdf (Дата обращения: 15.11.2019)
33.3агинайлов Ю. Теория информационной безопасности и методология защиты информации: учебное пособие. Мю-Берлин: Директ-Медиа, 2015. 253 с.
34. Кадан А.М., Доронин А.К. Изучение методов тестирования на проникновение в подготовке специалистов по защите информации. Информатизация образования. 2016
35. Красов А.В., Штеренберг С.И., Москальчук А.И. Методология создания виртуальной лаборатории для тестирования безопасности распределенных информационных систем
36. Марченко А.В., Войналович В.Ю., Воронин С.Н. Анализ состояния системы подготовки специалистов в области информационной безопасности.
37. Меньших В.В., Константиновна Е.К. Оценки доступности информации в
телекоммуникационных системах // URL.:
https://cyberleninka.ru/article/n/otsenki-dostupnosti-informatsii-v- telekommunikatsionnyh-sistemah (Дата обращения: 05.01.2020)
38. Лазуткин А. Н. Аудит информационной безопасности предприятия.
Основные угрозы и этапы внедрения системы обеспечения информационной безопасности // Научно-методический электронный журнал «Концепт», 2016, С. 3211-3215. URL: http://e-
koncept.ru/2016/86678.htm (Дата обращения: 30.11.2019)
39. Пантюхин И.С., Дранник А.Л., Птицын А.В. Опыт применения практико - ориентированного подхода к обучению бакалавров основам
информационной безопасности. // URL:
https://elibrary.ru/item.asp?id=25030640 (Дата обращения: 30.11.2019)
40. Певнев В. Я. Методы обеспечения целостности информации в
инфокоммуникационных системах. // URL: http://www.irbis-
nbuv.gov.ua/cgi-
bin/irbis nbuv/cgiirbis 64.exe?C21COM=2&I21DBN=UJRN&P21DBN=UJR N&IMAGE FILE DOWNLOAD=1 &Image file name=PDF/vcpitevn 2015 51 16.pdf (Дата обращения: 05.01.2020)
41. Первый рейтинг «Подготовка кадров для ИТ-отрасли в регионах»
https://russoft.org/wp-content/uploads/2018/10/Rating russoft.pdf (Дата
обращения: 09.11.2019)
42. Пестунова Т.М., Селифанов В.В., Слонкина И.С., Юракова Я.В. Автоматизированная технология сопоставления угроз и уязвимостей безопасности информации в информационных системах // URL https://repo.ssau.ru/bitstream/Informacionnaya- bezopasnost/Avtomatizirovannaya-tehnologiya-sopostavleniya-ugroz-i- uyazvimostei-bezopasnosti-informacii-v-informacionnyh-sistemah- 64901/1/156-160.pdf (Дата обращения: 09.12.2019)
43. Плешков А. С., Рудер Д.Д. Тестирование на проникновение как анализ
защищенности компьютерных систем // URL:
https://cyberleninka.ru/article/n/testirovanie-na-proniknovenie-kak-analiz- zaschischennosti-kompyuternyh-sistem (Дата обращения: 09.12.2019)
44. Положение Банка России от 09.06.2012 N 382-П (ред. от 07.05.2018) "О
требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств" // URL: http://www.consultant.ru/document/cons doc LAW 131473/ (Дата
обращения: 10.11.2019)
45. СЗ Р. Ф. Уголовный кодекс Российской Федерации от 13.06. 1996 № 63- ФЗ. - 1996. (ред. от 07.04.2020)
46. Соловьев В.А., Шемяхина А.К. Разведка в открытых источниках как первый этап кибератаки в модели Cyber Kill Chain // URL.: https://elibrary.ru/item.asp?id=25327504 (Дата обращения: 06.01.2019)
47. Статистический сборник “Состояние преступности в России за июль 2019 г.”. URL: https://www.genproc.gov.ru/upload/iblock/9fb/sbomik 7 2019.pdf (дата обращения: 30.11.2019)
48. Таненбаум Э., Уэзеролл Д. Компьютерные сети. 5-е изд. СПб.: Питер, 2012.
960 с. (Дата обращения: 03.12.2019)
49. Урбанович П. П., Романенко Д. М, Кабак Е. В. Компьютерные сети: учеб.
пособие для студентов высших учебных заведений по техническим специальностям. Минск: БГТУ, 2011. 400 с.
https://elib.belstu.by/bitstream/123456789/3084/1/urbanovich kompyuternye- seti.2011.pdf (Дата обращения: 15.11.2019)
50. Федорченко А.В., Чечулин А.А., Котенко И.В. Исследование открытых баз
уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей. // URL:
https://cyberleninka.ru/article/n/issledovanie-otkrytyh-baz-uyazvimostey-i- otsenka-vozmozhnosti-ih-primeneniya-v-sistemah-analiza-zaschischennosti- kompyuternyh-setey (Дата обращения: 21.12.2019)
51. Цуканова О.А., Смирнов С.Б. Экономика защиты информации: Учебное пособие. СПб.: СПб ГУИТМО, 2013. 59 с.
52. Шафигуллина А. Р. ПЛАТФОРМА DOCKER: КОНТЕЙНЕРНАЯ ВИРТУАЛИЗАЦИЯ //НАУЧНОЕ СООБЩЕСТВО СТУДЕНТОВ. МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ. - 2019. - С. 51-55. URL: https://www.elibrary.ru/item.asp?id=40356425 (Дата обращения: 10.02.2019