Введение 10
1. Информация о предприятии 12
1.2. Информация об объекте защиты 13
1.3.1. Общие положения 13
1.3.2. Описание ИС 14
1.3.3. Модель нарушителя 14
1.3.4. Определение базового уровня защищенности 18
1.3.5. Определение актуальных угроз безопасности 19
1.4. Выводы по разделу 21
2. Анализ требований по мониторингу событий безопасности 22
2.1. Этапы атаки на информационную систему и меры защиты 23
2.2 Анализ векторов кибератак APT группировок 27
2.2.1. Категорирование событий информационной безопасности 29
2.3. Выводы по разделу 34
3. Разработка системы мониторинга безопасности предприятия 36
3.1 Архитектура системы мониторинга и управления событиями ИБ 36
3.2. Разработка модуля агрегации 37
3.3. Разработка модуля корреляции 42
3.4. Разработка модуля прогнозирования 51
3.5. Разработка вспомогательных модулей 53
3.5.1. Разработка модуля для работы с JSON файлами 54
3.5.2. Разработка модуля для работы с представлением времени 55
3.6. Выводы по разделу 57
4. Алгоритм работы программы 58
4.1. Алгоритм корреляция событий ИБ 58
4.2. Алгоритм прогнозирования событий ИБ 59
4.3. Вывод по разделу 60
5. Имитационное моделирование 61
5.1. Признаки APT41 и их описание 61
5.2. Формирование log-файлов и моделирование атаки 63
5.3 Оценка эффективности 70
Заключение 75
Список литературы 76
Перечень компетенций 79
Приложение А 80
Приложение Б 82
Приложение В 85
Приложение Г
С каждым годом угрозы взлома информационных систем и компрометации данных становятся все более и более актуальными, более того вектор угроз смещается от простых методов к серьезным, продуманным и нетривиальным атакам. По итогам третьего квартала 2019 года экспертами Positive Technologies был отмечен рост числа целенаправленных атак по сравнению с 2018 годом [1][ АОК-1-01з].- рисунок 1.
Такие атаки называются АРТ-атаками(Абуапсеб persistent threat) и направленны они на конкретную организацию или отрасль промышленности или бизнеса. По данным ФинЦЕРТ, за 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми [2].
Только от группировок Cobalt и Silence за 2018 год ущерб составил 58 млн. рублей [2]. Одна такая атака может проводиться на протяжении нескольких месяцев, что существенно затрудняет ее обнаружение, так как администратор безопасности может и не заметить связи между несколькими событиями на отрезке в несколько недель, а специализированные системы обнаружения вторжений зачастую работают только с одним сегментом информационной системы, будь то сеть или управление контролем доступа. Такие СОВ не видят полной картины.
Для решения подобной задачи может потребоваться более комплексное программное обеспечение, способное не просто замечать признаки попыток нарушения конфиденциальности, целостности и доступности информационной системы и данных в ней, но и находить взаимосвязи между такими событиями.
Для всего этого подойдет система мониторинга и управления событиями информационной безопасности, такая система способна находить корреляции между различными событиями ИБ. В проекте, решается задача по разработке SIEM-системы, с добавлением к ней возможности сопоставления обнаруженных событий информационной безопасности признакам APT-атак.
Задача разработки собственной реализации системы мониторинга ставится, вследствие невозможности использовать представленные на рынке варианты SIEM-систем «из коробки». Для каждой такой системы необходима полноценная настройка, учитывающая специфику предприятия, необходимо создание дополнительных правил для обнаружения инцидентов информационной без-опасности, месяцы накопления статистики и корректировка уже созданных правил обнаружения. Все это требует дополнительных расходов и привлечения группы специалистов [3].
Основное направление в проекте сделано на разработку SIEM-системы, опирающуюся на категорирование признаков APT-атак. Это позволит обнаружить целевую атаку на предприятие при минимальной настройке, что существенно сокращает время развертывания и финансовые издержки. В первом разделе будет проанализирована общая информация о предприятии, необходимая для развертывания системы мониторинга безопасности.
По итогам всего проекта, можно заключить, разработка и внедрение специализированной системы мониторинга и управления событиями информационной безопасности может способствовать повышение общего уровня защищенности на предприятии, за счет обнаружения отдельных событий информационной безопасности и поиска взаимосвязей между ними.
Помимо этого, успешное решение задачи разработки SIEM-системы с учетом векторов кибератак позволяет помимо самого факта обнаружения взаимосвязей между событиями информационной безопасности, сопоставить эти события признакам целевых атак и спрогнозировать дальнейшее развитие таких атак. Такой подход существенно ускоряет ответные действия, направленные на локализацию ущерба от атаки и блокирование дальнейшего ее развития.
По результатам имитационного моделирования и оценки эффективности, можно сделать вывод об успешном выполнении SIEM-системой всех возложенных на нее функций. Более того, применяя разработанную SIEM-систему, можно существенно сократить потребление программных и аппаратных ресурсов на защиту информационной системы. Это позволит либо сократить расходы на потреблении ресурсов, либо внедрить дополнительный уровень защиты, повысив общий уровень защищенности всей информационной системы.
1. Advanced Persistent Threat(APT). Таргетированные или целевые кибератаки «Развитая устойчивая угроза». [Электронный ресурс].
2. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и тех-ник. [Электронный ресурс]. - URL:https://www.ptsecurity.com/ru-ru/research/analytics/apt-attacks-finance-2019/
3. SIEM: ответы на часто задаваемые вопросы [Электронный ресурс]. - URL: https://habr.com/ru/post/172389/
4. Neomatica [Электронный ресурс]. - URL:https://www.neomatica.com/
5. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
6. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14.02.2008.
7. Методика определения угроз безопасности информации в информационных системах, проект 2015 г
8. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 15.02.2008.
9. Системы мониторинга событий безопасности [Электронный ресурс] . - URL:https ://www.anti-malware.ru/security/security-monitoring
10. Max Patrol SIEM. Обзор системы управления событиями
информационной безопасности [Электронный ресурс]. - URL: https://habr.com/ru/company/tssolution/blog/495280/
11. APT [Электронный ресурс]. - URL:https://ru.wikipedia.org/wiki/APT
12. Что такое APT-атака и как от нее защититься [Электронный ресурс]. - URL:http://www. spy-soft.net/apt-attack/
13. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов
информационной безопасности от 01.07.2008.
14. MITRE | ATT&CK [Электронный ресурс]. - URL:https://attack.mitre.org/
15. ATT&CK Mapping [Электронный ресурс]. - URL: https://mitre-
attack. github.io/caret/#/
16. MaxPatrol SIEM [Электронный ресурс]. URL:
https://www.ptsecurity.com/ru-ru/products/mpsiem/
17. FortiSIEM [Электронный ресурс]. - URL:
https://www.fortinet.com/ru/products/siem/fortisiem#resources
18. СерчИнформ SIEM [Электронный ресурс]. - URL:
https:// searchinform.ru/products/siem/
19. КОМРАД [Электронный ресурс]. - URL: https://npo-
echelon.ru/production/65/11174
20.Security Capsule [Электронный ресурс]. - URL:
https://www.itb.spb.ru/products/Security Capsule SIEM/
21. McAfee ESM [Электронный ресурс]. - URL:
https://www.mcafee.com/enterprise/ru-ru/products/enterprise-security-manager.html
22. Агрегация [Электронный ресурс - URL:
httpsT/ru.wrkipedia.prg/wiki/Агрегация
23. Log файлы в Linux по порядку [Электронный ресурс]. - URL: https://habr.com/ru/post/332502/
24. Корреляция SIEM - это просто. Сигнатурные методы [Электронный ресурс]. - URL:https ://www. securitylab.ru/analytics/431459.php
25. Корреляция информации в SIEM-системах на основе графа связей типов событий / Федорченко А.В., Котенко И.В. // Информационно - управляющие системы - 2018.
26. Алгоритмы справочник / Джодрж Хайнеман, Гэри Поллис, Стэнли Селков.: Orelly, 2017. - 427с
27. Double Dragon APT41, a dual espionage and cyber crime operation [Электронный ресурс]. - URL:https://content.fLreeye.com/apt-41/rpt-apt41
https://habr.com/ru/post/192884/
29. Общие понятия о системах обнаружения и предотвращения вторжений
[Электронный ресурс].-URL:
https://habr.com/ru/company/otus/blog/479584/
30. HIDS(Host-based Intrusion Detection System) [Электронный ресурс]. - URL:https://ru.bmstu.wiki/HIDS (Host-Based Intrusion Detection System)