📄Работа №73670
Тема: Разработка системы мониторинга безопасности предприятия ООО «Неоматика» на основе модели векторов кибератак
Тип работы
Дипломные работы, ВКР
Предмет
информационная безопасность
Объем:
92 листов
Год:
2020
Просмотров:
629
4215
руб.
🛒 Купить работу
Не подходит эта работа?
Закажите новую по вашим требованиям
Узнать цену на написание
Закажите новую по вашим требованиям
Представленный материал является образцом учебного исследования, примером структуры и содержания учебного исследования по заявленной теме. Размещён исключительно в информационных и ознакомительных целях.
Workspay.ru оказывает информационные услуги по сбору, обработке и структурированию материалов в соответствии с требованиями заказчика.
Размещение материала не означает публикацию произведения впервые и не предполагает передачу исключительных авторских прав третьим лицам.
Материал не предназначен для дословной сдачи в образовательные организации и требует самостоятельной переработки с соблюдением законодательства Российской Федерации об авторском праве и принципов академической добросовестности.
Авторские права на исходные материалы принадлежат их законным правообладателям. В случае возникновения вопросов, связанных с размещённым материалом, просим направить обращение через форму обратной связи.
Настоящий учебно-методический информационный материал размещён в ознакомительных и исследовательских целях и представляет собой пример учебного исследования. Не является готовым научным трудом и требует самостоятельной переработки.
📋 Содержание
Введение 10
1. Информация о предприятии 12
1.2. Информация об объекте защиты 13
1.3.1. Общие положения 13
1.3.2. Описание ИС 14
1.3.3. Модель нарушителя 14
1.3.4. Определение базового уровня защищенности 18
1.3.5. Определение актуальных угроз безопасности 19
1.4. Выводы по разделу 21
2. Анализ требований по мониторингу событий безопасности 22
2.1. Этапы атаки на информационную систему и меры защиты 23
2.2 Анализ векторов кибератак APT группировок 27
2.2.1. Категорирование событий информационной безопасности 29
2.3. Выводы по разделу 34
3. Разработка системы мониторинга безопасности предприятия 36
3.1 Архитектура системы мониторинга и управления событиями ИБ 36
3.2. Разработка модуля агрегации 37
3.3. Разработка модуля корреляции 42
3.4. Разработка модуля прогнозирования 51
3.5. Разработка вспомогательных модулей 53
3.5.1. Разработка модуля для работы с JSON файлами 54
3.5.2. Разработка модуля для работы с представлением времени 55
3.6. Выводы по разделу 57
4. Алгоритм работы программы 58
4.1. Алгоритм корреляция событий ИБ 58
4.2. Алгоритм прогнозирования событий ИБ 59
4.3. Вывод по разделу 60
5. Имитационное моделирование 61
5.1. Признаки APT41 и их описание 61
5.2. Формирование log-файлов и моделирование атаки 63
5.3 Оценка эффективности 70
Заключение 75
Список литературы 76
Перечень компетенций 79
Приложение А 80
Приложение Б 82
Приложение В 85
Приложение Г
1. Информация о предприятии 12
1.2. Информация об объекте защиты 13
1.3.1. Общие положения 13
1.3.2. Описание ИС 14
1.3.3. Модель нарушителя 14
1.3.4. Определение базового уровня защищенности 18
1.3.5. Определение актуальных угроз безопасности 19
1.4. Выводы по разделу 21
2. Анализ требований по мониторингу событий безопасности 22
2.1. Этапы атаки на информационную систему и меры защиты 23
2.2 Анализ векторов кибератак APT группировок 27
2.2.1. Категорирование событий информационной безопасности 29
2.3. Выводы по разделу 34
3. Разработка системы мониторинга безопасности предприятия 36
3.1 Архитектура системы мониторинга и управления событиями ИБ 36
3.2. Разработка модуля агрегации 37
3.3. Разработка модуля корреляции 42
3.4. Разработка модуля прогнозирования 51
3.5. Разработка вспомогательных модулей 53
3.5.1. Разработка модуля для работы с JSON файлами 54
3.5.2. Разработка модуля для работы с представлением времени 55
3.6. Выводы по разделу 57
4. Алгоритм работы программы 58
4.1. Алгоритм корреляция событий ИБ 58
4.2. Алгоритм прогнозирования событий ИБ 59
4.3. Вывод по разделу 60
5. Имитационное моделирование 61
5.1. Признаки APT41 и их описание 61
5.2. Формирование log-файлов и моделирование атаки 63
5.3 Оценка эффективности 70
Заключение 75
Список литературы 76
Перечень компетенций 79
Приложение А 80
Приложение Б 82
Приложение В 85
Приложение Г
📖 Введение
С каждым годом угрозы взлома информационных систем и компрометации данных становятся все более и более актуальными, более того вектор угроз смещается от простых методов к серьезным, продуманным и нетривиальным атакам. По итогам третьего квартала 2019 года экспертами Positive Technologies был отмечен рост числа целенаправленных атак по сравнению с 2018 годом [1][ АОК-1-01з].- рисунок 1.
Такие атаки называются АРТ-атаками(Абуапсеб persistent threat) и направленны они на конкретную организацию или отрасль промышленности или бизнеса. По данным ФинЦЕРТ, за 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми [2].
Только от группировок Cobalt и Silence за 2018 год ущерб составил 58 млн. рублей [2]. Одна такая атака может проводиться на протяжении нескольких месяцев, что существенно затрудняет ее обнаружение, так как администратор безопасности может и не заметить связи между несколькими событиями на отрезке в несколько недель, а специализированные системы обнаружения вторжений зачастую работают только с одним сегментом информационной системы, будь то сеть или управление контролем доступа. Такие СОВ не видят полной картины.
Для решения подобной задачи может потребоваться более комплексное программное обеспечение, способное не просто замечать признаки попыток нарушения конфиденциальности, целостности и доступности информационной системы и данных в ней, но и находить взаимосвязи между такими событиями.
Для всего этого подойдет система мониторинга и управления событиями информационной безопасности, такая система способна находить корреляции между различными событиями ИБ. В проекте, решается задача по разработке SIEM-системы, с добавлением к ней возможности сопоставления обнаруженных событий информационной безопасности признакам APT-атак.
Задача разработки собственной реализации системы мониторинга ставится, вследствие невозможности использовать представленные на рынке варианты SIEM-систем «из коробки». Для каждой такой системы необходима полноценная настройка, учитывающая специфику предприятия, необходимо создание дополнительных правил для обнаружения инцидентов информационной без-опасности, месяцы накопления статистики и корректировка уже созданных правил обнаружения. Все это требует дополнительных расходов и привлечения группы специалистов [3].
Основное направление в проекте сделано на разработку SIEM-системы, опирающуюся на категорирование признаков APT-атак. Это позволит обнаружить целевую атаку на предприятие при минимальной настройке, что существенно сокращает время развертывания и финансовые издержки. В первом разделе будет проанализирована общая информация о предприятии, необходимая для развертывания системы мониторинга безопасности.
Такие атаки называются АРТ-атаками(Абуапсеб persistent threat) и направленны они на конкретную организацию или отрасль промышленности или бизнеса. По данным ФинЦЕРТ, за 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми [2].
Только от группировок Cobalt и Silence за 2018 год ущерб составил 58 млн. рублей [2]. Одна такая атака может проводиться на протяжении нескольких месяцев, что существенно затрудняет ее обнаружение, так как администратор безопасности может и не заметить связи между несколькими событиями на отрезке в несколько недель, а специализированные системы обнаружения вторжений зачастую работают только с одним сегментом информационной системы, будь то сеть или управление контролем доступа. Такие СОВ не видят полной картины.
Для решения подобной задачи может потребоваться более комплексное программное обеспечение, способное не просто замечать признаки попыток нарушения конфиденциальности, целостности и доступности информационной системы и данных в ней, но и находить взаимосвязи между такими событиями.
Для всего этого подойдет система мониторинга и управления событиями информационной безопасности, такая система способна находить корреляции между различными событиями ИБ. В проекте, решается задача по разработке SIEM-системы, с добавлением к ней возможности сопоставления обнаруженных событий информационной безопасности признакам APT-атак.
Задача разработки собственной реализации системы мониторинга ставится, вследствие невозможности использовать представленные на рынке варианты SIEM-систем «из коробки». Для каждой такой системы необходима полноценная настройка, учитывающая специфику предприятия, необходимо создание дополнительных правил для обнаружения инцидентов информационной без-опасности, месяцы накопления статистики и корректировка уже созданных правил обнаружения. Все это требует дополнительных расходов и привлечения группы специалистов [3].
Основное направление в проекте сделано на разработку SIEM-системы, опирающуюся на категорирование признаков APT-атак. Это позволит обнаружить целевую атаку на предприятие при минимальной настройке, что существенно сокращает время развертывания и финансовые издержки. В первом разделе будет проанализирована общая информация о предприятии, необходимая для развертывания системы мониторинга безопасности.
✅ Заключение
По итогам всего проекта, можно заключить, разработка и внедрение специализированной системы мониторинга и управления событиями информационной безопасности может способствовать повышение общего уровня защищенности на предприятии, за счет обнаружения отдельных событий информационной безопасности и поиска взаимосвязей между ними.
Помимо этого, успешное решение задачи разработки SIEM-системы с учетом векторов кибератак позволяет помимо самого факта обнаружения взаимосвязей между событиями информационной безопасности, сопоставить эти события признакам целевых атак и спрогнозировать дальнейшее развитие таких атак. Такой подход существенно ускоряет ответные действия, направленные на локализацию ущерба от атаки и блокирование дальнейшего ее развития.
По результатам имитационного моделирования и оценки эффективности, можно сделать вывод об успешном выполнении SIEM-системой всех возложенных на нее функций. Более того, применяя разработанную SIEM-систему, можно существенно сократить потребление программных и аппаратных ресурсов на защиту информационной системы. Это позволит либо сократить расходы на потреблении ресурсов, либо внедрить дополнительный уровень защиты, повысив общий уровень защищенности всей информационной системы.
Помимо этого, успешное решение задачи разработки SIEM-системы с учетом векторов кибератак позволяет помимо самого факта обнаружения взаимосвязей между событиями информационной безопасности, сопоставить эти события признакам целевых атак и спрогнозировать дальнейшее развитие таких атак. Такой подход существенно ускоряет ответные действия, направленные на локализацию ущерба от атаки и блокирование дальнейшего ее развития.
По результатам имитационного моделирования и оценки эффективности, можно сделать вывод об успешном выполнении SIEM-системой всех возложенных на нее функций. Более того, применяя разработанную SIEM-систему, можно существенно сократить потребление программных и аппаратных ресурсов на защиту информационной системы. Это позволит либо сократить расходы на потреблении ресурсов, либо внедрить дополнительный уровень защиты, повысив общий уровень защищенности всей информационной системы.
ИЛИ
Поиск аналога
📕 Список литературы
🛒 Оформить заказ
⚡ Работу высылаем в течении 5 минут после оплаты.