Файл: Пояснительная записка на 92 страницах. Графическая часть на 4 листах. Допускается к защите Протокол заседания кафедры ат от 2020 г.pdf
ВУЗ: Не указан
Категория: Не указан
Дисциплина: Не указана
Добавлен: 05.05.2024
Просмотров: 58
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
8
Содержание
Введение .............................................................................................................. 10 1. Информация о предприятии ........................................................................... 12 1.2. Информация об объекте защиты ............................................................... 13 1.3.1. Общие положения ................................................................................... 13 1.3.2. Описание ИС ........................................................................................... 14 1.3.3. Модель нарушителя ................................................................................ 14 1.3.4. Определение базового уровня защищенности ...................................... 18 1.3.5. Определение актуальных угроз безопасности ...................................... 19 1.4. Выводы по разделу .................................................................................... 21 2.Анализ требований по мониторингу событий безопасности ......................... 22 2.1. Этапы атаки на информационную систему и меры защиты ................... 23 2.2 Анализ векторов кибератак APT группировок ......................................... 27 2.2.1. Категорирование событий информационной безопасности................. 29 2.3. Выводы по разделу .................................................................................... 34 3. Разработка системы мониторинга безопасности предприятия ..................... 36 3.1 Архитектура системы мониторинга и управления событиями ИБ .......... 36 3.2. Разработка модуля агрегации .................................................................... 37 3.3. Разработка модуля корреляции ................................................................. 42 3.4. Разработка модуля прогнозирования........................................................ 51 3.5. Разработка вспомогательных модулей .................................................... 53 3.5.1. Разработка модуля для работы с JSON файлами .................................. 54 3.5.2. Разработка модуля для работы с представлением времени ................. 55 3.6. Выводы по разделу .................................................................................... 57 4. Алгоритм работы программы ......................................................................... 58 4.1. Алгоритм корреляция событий ИБ ........................................................... 58 4.2. Алгоритм прогнозирования событий ИБ ................................................. 59 4.3. Вывод по разделу ....................................................................................... 60 5. Имитационное моделирование ....................................................................... 61 5.1. Признаки APT41 и их описание ................................................................ 61 5.2. Формирование log-файлов и моделирование атаки ................................. 63 5.3 Оценка эффективности ............................................................................... 70
9
Заключение .......................................................................................................... 75
Список литературы ............................................................................................. 76
Перечень компетенций ....................................................................................... 79
Приложение А ..................................................................................................... 80
Приложение Б ...................................................................................................... 82
Приложение В ..................................................................................................... 85
Приложение Г ...................................................................................................... 92
10
Введение
С каждым годом угрозы взлома информационных систем и компромета- ции данных становятся все более и более актуальными, более того вектор угроз смещается от простых методов к серьезным, продуманным и нетривиальным атакам. По итогам третьего квартала 2019 года экспертами Positive Technologies был отмечен рост числа целенаправленных атак по сравнению с 2018 годом [1][
АОК-1-01з].- рисунок 1.
Рисунок 1 – Статистика роста целевых атак
Такие атаки называются APT-атаками(Advanced persistent threat) и направленны они на конкретную организацию или отрасль промышленности или бизнеса. По данным ФинЦЕРТ, за 2018 год было зафиксировано 687 атак на организации кредитно-финансовой отрасли. Из них 177 являлись целевыми
[2].
Только от группировок Cobalt и Silence за 2018 год ущерб составил 58 млн. рублей [2]. Одна такая атака может проводиться на протяжении несколь-
11 ких месяцев, что существенно затрудняет ее обнаружение, так как администра- тор безопасности может и не заметить связи между несколькими событиями на отрезке в несколько недель, а специализированные системы обнаружения вторжений зачастую работают только с одним сегментом информационной си- стемы, будь то сеть или управление контролем доступа. Такие СОВ не видят полной картины.
Для решения подобной задачи может потребоваться более комплексное программное обеспечение, способное не просто замечать признаки попыток нарушения конфиденциальности, целостности и доступности информационной системы и данных в ней, но и находить взаимосвязи между такими событиями.
Для всего этого подойдет система мониторинга и управления событиями информационной безопасности, такая система способна находить корреляции между различными событиями ИБ. В проекте, решается задача по разработке
SIEM-системы, с добавлением к ней возможности сопоставления обнаружен- ных событий информационной безопасности признакам APT-атак.
Задача разработки собственной реализации системы мониторинга ставит- ся, вследствие невозможности использовать представленные на рынке вариан- ты SIEM-систем «из коробки». Для каждой такой системы необходима полно- ценная настройка, учитывающая специфику предприятия, необходимо создание дополнительных правил для обнаружения инцидентов информационной без- опасности, месяцы накопления статистики и корректировка уже созданных правил обнаружения. Все это требует дополнительных расходов и привлечения группы специалистов [3].
Основное направление в проекте сделано на разработку SIEM-системы, опирающуюся на категорирование признаков APT-атак. Это позволит обнару- жить целевую атаку на предприятие при минимальной настройке, что суще- ственно сокращает время развертывания и финансовые издержки. В первом разделе будет проанализирована общая информация о предприятии, необходи- мая для развертывания системы мониторинга безопасности.
12
1. Информация о предприятии
В настоящей проекте объектом защиты является информационная систе- ма предприятия ООО «Неоматика». «Неоматика» – Российская IT-компания, занимающаяся разработкой оборудования для ГЛОНАС/GPS мониторинга с
2012 года [4].
Основными направлениями деятельности компании являются:
1.
Производство автомобильных трекеров;
2.
Производство персональных трекеров;
3.
Производства датчиков температуры;
4.
Производство датчиков наклона;
5.
Производство датчиков уровня топлива;
6.
Написание программного обеспечения для объединения, произведенного компанией оборудования в единую экосистему.
Главный офис компании находится по адресу г. Пермь ул. Малкова 24А, на первом этаже жилого дома, вход со стороны внутреннего двора.
Местоположение предприятия представлено на рисунке 1.1
Рисунок 1.1 – Расположение предприятия
13
Окна офиса выходят на жилые дома напротив здания, где расположена компания. Под нужды организации отведены четыре помещения.
Как можно заметить на изображении выше, здание окружено парковкой.
Все стороны здания выходят на жилые дома.
Исходя из информации выше, следует заключить, что компания ООО
«Неоматика» может быть целью APT-группировок, так как она поставляет про- граммно-техническое оборудование на рынок. Это оборудование может являть- ся промежуточным звеном в иной, более крупной цепочке атак.
1.2. Информация об объекте защиты
Основным объектом защиты на предприятии выступает его информационная система.
Информационная система предприятия представляет собой как сервера с исходными кодами и «прошивками» программно-технических продуктов, так и персональные данные сотрудников организации [АОК-2-01з].
Информационная система состоит из следующих компонентов:
1. 1С: Предприятие (версия 7.7);
2. 1С: Предприятие (версия 8.2);
3. 1С: Камин расчет заработной платы (версия 3.0);
4. Oracle Database 11g
5. Visual SVN server
После сбора основной информации об организации, необходимо опреде- лить перечень возможных угроз предприятия. Для этого следует разработать частную модель угроз.
1.3. Частная модель угроз предприятия
1.3.1. Общие положения
Настоящая модель определяет актуальные угрозы безопасности информации при ее обработке в информационной системе предприятия ООО
14
«Неоматика».
Настоящая модель была разработана на основании следующих документов [АПК-2-01в]:
1.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, Утверждена заместителем директора ФСТЭК России
14 февраля 2008 г [6].
2.
Методика определения угроз безопасности информации в информационных системах, Проект 2015 г [7].
3.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г [8].
1.3.2. Описание ИС
ИС предприятия состоит из следующих компонентов:
1. 1С: Предприятие (версия 7.7);
2. 1С: Предприятие (версия 8.2);
3. 1С: Камин расчет заработной платы (версия 3.0);
4. Oracle Database 11g
5. Visual SVN Server
1.3.3. Модель нарушителя
Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно- функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.
С учетом наличия прав доступа и возможностей по доступу к
15 информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
1. внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
2. внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.
Виды нарушителей и их возможные цели реализации угроз безопасности информации представлены в таблице 1.1
Таблица 1.1.Виды, типы и потенциал нарушителей
Виды нарушителей
Типы нарушителей
Возможные цели реализации угроз безопасности информации
Потенциал нарушителей
Преступные группы
Внешний
Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Низкий
Внешние субъекты Внешний
Идеологические или политические мотивы. Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации.
Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Низкий