Введение 3
Актуальность 3
Цели и задачи 4
Глава 1. Информационная безопасность 5
1.1. Понятие информационной и сетевой безопасности 5
1.2. Инфраструктура корпоративной сети 7
1.3. Основные угрозы сетевой безопасности 9
1.4. Основные технологии для борьбы с угрозами сетевой безопасности 14
1.5. Анализ функционала шлюза безопасности компании Check Point 17
Глава 2. Организация работы с лог-данными 22
2.1. Понятие лога, принципы организации системы логирования 22
2.2. Основные направления анализа лог-информации 25
2.3. Анализ лог-файла шлюза безопасности компании Check Point 27
2.4. Обзор систем для анализа лог-файлов, их специфика 29
Глава 3. Разработка приложения (панели dashboard) 32
3.1. Понятие информационной панели (dashboard) 32
3.2. Проект информационной панели 34
3.3. Описание разработанного инструментария 36
Заключение 43
Список литературы 44
Приложение 48
Информационные технологии все быстрее и быстрее входят нашу жизнь и охватывают различные области деятельности экономических субъектов, с целью повышения их эффективности. Практически каждое программное решение имеет в себе модуль, отвечающий за ведение журналов, в которых, с разной степенью подробности, регистрируются системные данные.
На сегодняшний день существует достаточно развитый рынок, связанный с оказанием услуг и поставкой товаров, программных средств, в области информационной безопасности. По оценкам аналитического центра TAdviser, объем рынка информационной безопасности в России по итогам 2014 года составил 59 млрд. рублей (TAdviser, 2015).
С другой стороны, согласно статье из аналитического издания в области информационных технологий Computer Weekly, ежегодно по всему миру распространяется пиратское программное обеспечение и вредоносные продукты, позволяющие выполнять сложные атаки на разного вида системы, суммарной стоимостью 2 млрд долларов (Ashford, 2014), что достаточно внушительно.
В независимости от сферы бизнеса и интересов компании, предприятия нуждаются в защите информации, хранящейся в их корпоративных сетях, для достижения которой, требуется выполнение ряда операций, в частности осуществления мониторинга основных событий и инцидентов в системе. В рамках дисциплины информационная безопасность существует отдельное направление - SIEM (Security Information and Event Management), что, в общем виде, представляет собой анализ событийной информации, поступающей из различных подсистем, модулей, в рамках всей системы информационной безопасности и дальнейшего выявления отклонений от норм по каким-либо заранее определённым критериям.
SIEM-системы существуют уже почти 10 лет, но их активное продвижение и развитие началось лишь в последние годы, в большей степени из-за возросшего количества актуальных угроз. (Парфентьев, 2014). Несмотря на внушительный размер рынка SIEM- систем (Дрозд, 2014), по причине широкого разнообразия и высокого уровня спецификации каждой отдельной компании-клиента, разных задач и источников информации для SIEM систем в рамках отдельных предприятий, на данный момент процесс внедрения требует значительных усилий, то есть для каждого отдельного предприятия необходимо разрабатывать отдельный, уникальный модуль, о чем говорят вендоры и компании интеграторы (AltirixSystems, 2015).
Цели и задачи
Основной целью данной работы является разработка модуля информационной системы ИБ, благодаря которому сотрудники компании, занимающиеся анализом и предотвращением угроз в области ИБ, смогут оперативно, в режиме реального времени получать информацию, содержащую статистику о работе системы ИБ, и с помощью которой будут принимать управленческие решения, относительно таких вопросов как: установка новых правил в политике безопасности, обновление ПО, обработка возникших с инцидентов и анализ угроз.
Для достижения цели были поставлены и решены следующие задачи:
• Систематизация походов к организации ИБ на предприятии, с целью выявления основных угроз и возможных вариантов их предотвращения
• Анализ работы системы логирования и структуры формирования лог-файлов шлюза безопасности на базе программного обеспечения компании Check Point, с целью выявления основных полей и структурных особенностей лог- сообщений системы
• Выбор информационной системы для разработки модуля на основе критериев функциональности систем
• Разработка информационной панели (dashboard) для мониторинга работы системы ИБ и принятия управленческих решений, посредством обогащения лог-информации данными из общедоступных БД угроз и сканера уязвимостей в рамках одного модуля
В результате данного исследования было разработано приложение, представляющее собой набор информационных панелей реагирования, предназначенных для мониторинга работы шлюза безопасности Check Point и принятия управленческих решений, реализованное посредством системы анализа лог-данных Splunk. Данное приложение может использоваться аналитиками отдела безопасности среднего предприятия для анализа работы системы, выявления закономерностей и критических ошибок системы с целью предотвращения угроз безопасности. Также разработанный модуль предоставляет возможность осуществлять контроль за действиями сотрудников компании в интернете, в частности позволяет получать информацию о посещенных сайтах, используемых приложениях и объеме трафика.
Для достижения поставленной цели данной выпускной квалификационной работы были выявлены и систематизированы основные типы программных угроз информационной безопасности, методы и технологии борьбы с ними и произведен анализ функциональных возможностей шлюза безопасности Check Point, в результате чего удалось выявить необходимость проведения процедур мониторинга работы системы, с целью выявления основных атак и улучшения превентивных мер.
Исходя из того, что разработанная информационная панель построена на основе лог- данных, генерируемых системой безопасности Check Point, в ходе данной работы был произведен подробный анализ структуры лог-сообщений данной системы и выявлены основные поля, на основе которых были разработаны исследуемые показатели.
Для разработки информационной панели, в соответствии с выделенными критериями, была выбрана система анализа лог-данных Splunk, в рамках которой, с помощью интеграции с общедоступными базами данных угроз (CVE, CVSS, CWE) и сканером уязвимостей Nessus, был произведен процесс обогащения лог-данных и практически решена проблема избыточности информации о нерелевантных атаках на систему.
В качестве перспектив для дальнейшего исследования в данной области можно выделить такие вопросы как доработка разработанного модуля, в частности улучшение алгоритма фильтрации наиболее важных угроз, добавление новых источников данных об уязвимостях системы, создание системы уведомлений для оперативного контроля.
Adam Hils Greg Young, Jeremy D'Hoinne Magic Quadrant for Enterprise Network Firewalls [В Интернете] // Garnter. - Garnter, 22 April 2015 г.. - 11 March 2016 г.. - https://www.gartner.com/doc/3035319?ref=SiteSearch&sthkw=firewall&fnl=search&srcId= 1-3478922254.
AltirixSystems Внедрение системы управления информационной безопасностью [В Интернете] // Альтирикс системс. - 2015 г.. - 10 Апрель 2016 г.. - http://altirix.ru/index.php/services/vnedrenie-sistemy-upravleniya.
Anti-Malware Intrusion Detection/Prevention System (IDS/IPS) [В Интернете] // Anti¬Malware. - 2016 г.. - 2 Май 2016 г.. - https://www.anti-malware.ru/IDS_IPS.
Anti-Malware Сетевая безопасность (Network security) [В Интернете]. - 2015 г.. - 9 март 2016 г.. - https://www.anti-malware.ru/network_security#.
Ashford Warwick Malware deliberately loaded into pirated or counterfeit software is expected cost enterprises $491bn in 2014 [В Интернете] // ComputerWeekly. - 19 04 2014 г.. - 15 01 2016 г.. - http://www.computerweekly.com/news/2240216380/Pirated-software- malware-to-cost-business-491-in-2014-study-shows.
AV-Comparatieves IT Security Survey [В Интернете] // Infepemdet Test of Anti-Virus Software. - 15 March 2013 г.. - http://www.av-comparatives.org/wp- content/uploads/2013/03/security_survey2013_en.pdf.
AV-Comparatives Опрос по вопросам безопасности за 2015 год [В Интернете] // Infepemdet Test of Anti-Virus Software. - 18 Март 2015 г.. - http://www.av- comparatives.org/wp-content/uploads/2015/03/security_survey2015_ru.pdf.
Aycock John Computer Viruses and Malware [Книга]. - Calgary : Springer, 2006.
Bruce J. Neubauer, James D. Harris Protection of computer systems from computer viruses: ethical and practical issues [Журнал] // Journal of Computing Sciences in Colleges. - 2002 г.. - стр. 270.
CBS Interactive Inc Most popular in Antivirus Software [В Интернете] // Cnet. - 5 November 2015 г.. - http://download.cnet.com/windows/antivirus-software/most- popular/3101 -2239_4-0.html.
CheckPoint Next Generation Threat Prevention Software Bundles [В Интернете] // Check Point. - 1 January 2016 г.. - 10 April 2016 г.. - https://www.checkpoint.com/products/next- generati on-threat-preventi on/index.html.
DrWeb «Доктор Веб»: обзор вирусной активности в августе 2015 года [В Интернете] // DrWeb. - 28 Август 2015 г.. - http://news.drweb.ru/show/review/?lng=ru&i=9541.
13
14
15
16
17
18
19
20
21
22
23
24
25
26
Few S. Common pitfalls in Dashboard Design [Книга]. - Boise : Perceptual Edge, 2006.
Few S. Information Dashboard Desigh. The effective Visual Communacation of Data [Книга]. - Sebastopol : O'REILLY, 2006.
Дрозд Алексей Обзор SIEM-систем на мировом и российском рынке [В Интернете] // Anti-Malware. - 6 Июнь 2014 г.. - 14 Март 2016 г.. - https://www.anti-
malware .ru/analytics/Technol ogy_Analysi s/Overvi ew_SECURITY_system s_gl obal_and_Ru ssian_market.
Kaspersky Lab Регулярные обновления антивирусных программ [В Интернете] // Kaspersky Lab. - 7 Ноябрь 2015 г.. - http://www.kaspersky.ru/internet-security- center/internet-safety/antivirus-updates.
Kaspersky Lab О вирусах: Общая информация [В Интернете] // Kaspersky Lab. - 19 Август 2013 г.. - http://support.kaspersky.ru/viruses/general/1870.
Ludwig Mark A. The Giant Black Book of Computer Viruses [Книга]. - [б.м.] : American Eagle, 1998.
Malik S. Network Security Principles and Practices [Книга]. - Indianapolis, USA : Cisco Press, 2002.
Mick Jason Windows 10 Hits 75 Million Users; Grows Nearly 4x as Fast as Windows 7 [В Интернете] // DailyTech. - 28 August 2015 г.. - http://www.dailytech.com/Windows+10+Hits+75+Million+Users+Grows+Nearly+4x+as+Fa st+as+Windows+7/article37476.htm.
Nachenberg Carey Computer virus-antivirus coevolution [Журнал] // Communications of the ACM. - 1997 г.. - стр. 46-47.
OPSWAT Inc OPSWAT Market Share Reports [В Интернете] // OPSWAT. - January 2015 г.. - https://www.opswat.com/resources/reports/antivirus-and-compromised-device-january- 2015.
Peltier Thomas R. Information Security Fundamentals [Книга]. - [б.м.] : CRC Press, 2013. Peter Firstbrook, John Girard, Neil MacDonald Magic Quadrant for Endpoint Protection Platforms [В Интернете] // Gartner. - 22 December 2014 г.
http://www.gartner.com/technology/reprints.do?id=1-26F1285&ct=141223&st=sb.
Prince Matthew The DDoS That Almost Broke the Internet [В Интернете] // CloudFrare. - 27 March 2013 г.. - 7 April 2016 г.. - https://blog.cloudflare.com/the-ddos-that-almost- broke-the-internet/.
Ralph Langner Stuxnet: Dissecting a Cyberwarfare Weapon [Статья] // IEEE Security & Privacy. - [б.м.] : IEEE, 2011 г.. - 3 : Т. 9.
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
Ritstein Charles Executive Guide to Computer Viruses [Книга]. - [б.м.] : DIANE Publishing, 1992.
Rivera Janessa Gartner Says Worldwide Security Software Market Grew 5.3 Percent in 2014 [В Интернете] // Gartner. - 27 May 2015 г.. - http://www.gartner.com/newsroom/id/3062017.
Securitylab Невероятно простой трюк социальной инженерии стоил банку 70 млн евро [В Интернете] // Securitylab by Positive Technologies. - 26 Январь 2016 г.. - 10 Апрель 2016 г.. - http://www.securitylab.ru/news/478953.php.
Sotiris Ioannidis Angelos D. Keromytis, Steve M. Bellovin, Jonathan M. Smith 7th ACM conference on Computer and communications security [Конференция] // Implementing a distributed firewall. - [б.м.] : ACM, 2000.
TAdviser Информационная безопасность (рынок России) [В Интернете]. - 10 08 2015 http://www.tadviser.ru/index.php/Статья:Информационная_безопасность_рынок_России Vacca John R. Computer and Information Security [Книга]. - Waltham : Elsevier, 2013. YourPrivateNetwork Обеспечение информационной безопасности сетей [В Интернете] // Лаборатория Сетевой Безопасности. - 9 Август 2009 г.. - 13 Апрель 2016 г.. - http://ypn.ru/146/securing-networking-information/.
Zeltser Lenny How antivirus software works: Virus detection techniques [В Интернете] // TechTarget. - October 2011 г.. - http://searchsecurity.techtarget.com/tip/How-antivirus- software-works-Virus-detection-techniques.
ГОСТ-50922-2006 Защита информации. Основные термины и определения.
Горобец А. А., Куницкий А.В., Парфентий А.Н., Чувило О. А. Проблемы антивирусной индустрии, методы борьбы с компьютерными угрозами и ближайшие перспективы развития [Журнал] // Радиоэлектроника и информатика. - 2006 г.. - стр. 38-43.
Зобнин Евгений Методы борьбы с DoS-атаками [В Интернете] // Журнал «Хакер». - 14 Октябрь 2009 г.. - 21 Февраль 2016 г.. - https://xakep.ru/2009/10/14/49752/.
Кривцов А.Н. Гультяев А.К., Ткаченко Б.И. Безопасность информационных систем [Книга]. - Санкт-Петербург : ОЦЭиМ, 2006.
Лапонина О. Р. Основы сетевой безопасности. Криптографические алгоритмы и протоколы взаимодействия [Книга]. - Москва : Бином, 2009.
Орлов Сергей Шлюзы безопасности: новая волна [В Интернете] // Журнал сетевых решений LAN. - 2010 г.. - 1 Март 2016 г.. - http://www.osp.ru/lan/2010/09/13004319/. Парфентьев Алексей Обзор SIEM-систем на мировом и российском рынке [В Интернете] // Anti-Malware. - 06 07 2014 г.. - https://www.anti¬
malware .ru/analytics/Technol ogy_Analysi s/Overvi ew_SECURITY_system s_gl obal_and_Ru ssian_market#.
42 Романов Михаил Рынок систем сетевой безопасности, аппаратных средств двухфакторной аутентификации и инструментальных средств анализа защищенности в России [В Интернете] // Anti-Malware. - 12 Апрель 2013 г.. - 2 Май 2016 г.. - https://www.anti-malware.ru/node/11550.
43 Шпунт Яков Таргетированные атаки и как с ними бороться [В Интернете] // Intelligent Enterprise. - 05 Февраль 2015 г.. - 1 Март 2016 г.. - http://www.iemag.ru/analitics/detail.php?ID=32831.