Расследование инцидентов на основании

ТРЕБОВАНИЙ UBA

Объект исследования: поведенческий анализ User Behavior Analytics (UBA).

Результаты, полученные лично автором: анализ поведения пользователей для обеспечения корпоративной безопасности на примере User Behavior Analytics (UBA).

 

Практика борьбы с киберзлоумышленниками показывает, что кроме атак корпоративной сети из внешнего мира, все большую опасность представляют внутренние атаки, когда преступник получает доступ изнутри системы. К сожалению, квалификация и техническое оснащение хакеров продолжает улучшаться, а в находчивости и дерзости они никогда не испытывали дефицита. Современные атаки на ИТ-инфраструктуру предприятий являются комплексными, злоумышленники используют социальную инженерию, добытые различными способами знания о внутреннем устройстве и уязвимостях информационной инфраструктуры компании. Они используют комплексный подход для получения несанкционированного доступа к внутренней сети.
Получается, необходимо добавить в систему защиты от хакерских атак еще один уровень — контроль пользователей. Эти мероприятия называются User Behavior Analytics (UBA) аналитикой.

UBA выстраивает такую модель, в которой все файлы с журналами, доступ к данным, запросы аутентификации, сетевая активность и активность рабочих станций связываются с конкретными пользователями.

User Behavior Analytics решает задачи трех базовых типов:

· анализ событий пользовательской активности – работа со съемными носителями, доступ к базам данных, файловым каталогам, операции в корпоративных информационных системах, а именно документооборот, платежи, работа с персональными данными, биллинг и др.;

· использование готовых математических моделей по профилированию активности на основе полученных событий – выявление аномалий (anomaly detection), группировка однотипных событий (peer group analysis), определение частоты возникновения событий (event rarity), определение штатного профиля работы (baseline profiling);

· применение результатов работы математических моделей к задачам информационной безопасности – контроль привилегированных пользователей, выявление инсайдеров, необычной активности в корпоративных системах, таких как «спящие счета», «доступ к карточкам ВИП-клиентов» и прочее.

User Behavior Analytics позволяет дополнять события безопасности расширенным контекстом – необходимой информацией о пользователе, его рабочем окружении, организационных и других атрибутах. Поэтому, если в событии безопасности содержится, например, только IP-адрес, то все равно можно будет понять даже ФИО пользователя, который стоял за данной активностью.

Результатом работы UBA-решений является тот факт, что каждому пользователю информационной системы присваивается некий так называемый «уровень надежности», который для наглядности представляется либо цветовой шкалой, либо процентным показателем. Администратор информационной безопасности, отслеживает изменение уровней надежности и при обнаружении с помощью UBA аномалии своевременно реагирует и оперативно принимает меры для защиты информационных активов.

Можно сделать вывод, что мощным инструментом раннего выявления угроз являются мероприятия по анализу работы пользователей и обнаружению аномалий. Ведь злоумышленник перед атакой осуществляет разведку, изучение инфраструктуры изнутри. Служба безопасности сможет своевременно обнаружить проникновение и принять меры. Также важно наличие в UBA системах функций автоматического реагирования (от отсылки сообщений администраторам до временной блокировки подозрительной учетной записи), которое уменьшает время, в течение которого нарушитель может принять дополнительные меры по сокрытию своей деятельности или похищению данных.

Материал поступил в редколлегию 21.03.2017

УДК 004.492

Ю.В. Лапонова, Н.Д. Маркелов, Е.А.Спиридонов

Научный руководитель: доцент кафедры «Системы информационной безопасности», к.т.н., О.М.Голембиовская

[email protected]

 

РАЗРАБОТКА БАЗЫ ДАННЫХ УГРОЗ

ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Объект исследования: угрозы информационной безопасности Российской Федерации.

Результаты, полученные лично авторами: разработана база данных угроз информационной безопасности Российской Федерации.

 

Нормативно-правовая база в области обеспечения ИБ за последние 5 лет получила значительное усовершенствование. Так были разработаны и утверждены следующие документы:

· ФЗ-152 от 27.07.2006 г. «О персональных данных»;

· Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. ФСТЭК России, 2008 год и другие.

Однако в указанных нормативно-правовых актах основным недостатком является отсутствие подхода к определению точного состава угроз. Ввиду этого целесообразно разработать БД «Угрозы ИБ».

В качестве модели наполнения БД используется принцип «Угроза — Метод предотвращения — Важность метода (приоритет)».

Для классификации базовых методов предотвращения, парирования и нейтрализации угроз информационной безопасности были рассмотрены и использованы основные этапы проведения анализа угроз информационной безопасности.

Таблица 1

Фрагмент наполнения БД по угрозе утечки речевой информации

Угрозы

Базовые методы предотвращения или средства нейтрализации

Оценка средств нейтрализации и методов предотвращения

 

Окончание табл.1

Угрозы РИ (речевая информация)	Звукоизоляция оптического кабеля	0,05
Фильтрация от акустических наводок информационного сигнала	0,13
Маскировка сигнала введением в канал связи специального маскирующего сигнала	0,01
Зашумление среды канала передачи внешним воздействием	0,51
Детектор диктофонов	0,20
Постоянный круглосуточный радиоконтроль	0,10

Данная БД позволит не только выбрать меры нейтрализации, но и сформирует картину по эффективности каждого из средств и методов предотвращения угроз.

Данная БД разработана в среде MySQL, при помощи инструмента MySQLWorkbench. Введена в апробацию на кафедре СИБ Брянского ГТУ.

Материал поступил в редколлегию 27.02.2017

 

УДК 004.056.57

Д.В. Листраденко

Научный руководитель: доцент кафедры «Системы информационной безопасности», к.т.н., доц. М.Л. Гулак

[email protected]