Содержание к диссертации
Введение
1 Анализ применения современных систем мониторинга ИБ в рамках процесса обеспечения информационной безопасности информационно-телекоммуникационных сетей 12
1.1. Мониторинг ИБ информационно-телекоммуникационных сетей 12
1.2 Архитектура и функциональное устройство систем мониторинга ИБ 19
1.2.1 Высокоуровневая архитектура системы мониторинга ИБ 19
1.2.2 Обработка данных в системах мониторинга ИБ 24
1.3 Методы и алгоритмы, используемые в работе систем мониторинга ИБ 35
1.3.1 Корреляционный анализ 35
1.3.2 Контекстный анализ 37
1.3.3 Структурный анализ...г 41
1.3.4 Функциональный и поведенческий анализ 42
1.4 Организационная структура систем мониторинга ИБ 44
1.4.1 Подразделение ИБ 44
1.4.2 Ответная реакция и обработка инцидентов ИБ 46
1.5 Выводы по главе 1 48
2 Метод выявления нарушений ИБ в потоке сообщений ИБ ИТС 49
2.1 Область действия 49
2.2 Исследование закона количества сообщений ИБ 53
2.3 Метод выявления нарушений ИБ в потоке сообщений ИБ ИТС 59
2.3.1. Интерполяция значений оценок математического ожидания и дисперсии количества сообщений ИБ в таблице моментов 60
2.3.2 Обновление значений таблицы моментов 65
2.3.3 Оценка количества сообщений ИБ 61
2.3.4 Расчет значения показателя количества сообщений ИБ 67
2.4 Алгоритм выявления нарушений ИБ в потоке сообщений И Б ИТС 68
2.5 Исследование вероятностных характеристик метода выявления нарушений ИБ в потоке сообщений И Б ИТС 71
2.5.1 Исследование на предмет наличия ошибок первого рода 71
2.5.2 Исследование на предмет наличия ошибок второго рода 73
2.6 Выводы по главе 2 77
3 Синтез системы мониторинга ИБ 79
3.1 Методика получения консолидированной оценки результатов мониторинга ИБ 79
3.2 Интеграция блока адаптивной настройки средств защиты информации в систему мониторинга ИБ 87
3.3 Создание многоуровневой системы хранения сообщений ИБ 93
3.4 Развитие корреляционного анализа сообщений ИБ. 94
3.5 Реализация межкорпоративной корреляции сообщений И Б 98
3.6 Выводы по главе 3 101
4 Практическая реализация методики получения консолидированной оценки результатов мониторинга ИБ 103
4.1 Описание программной реализации для получения консолидированной оценки результатов
мониторинга ИБ 103
4.2 Описание лабораторного стенда 114
4.3 Разработка вариантов настроек для средств защиты информации 119
4.4 Результаты лабораторного эксперимента 125
4.5 Обсуждение результатов работы 127
4.6 Внедрение результатов работы 133
4.7 Выводы по главе 4 135
Заключение 136
Список литературы 138
- Высокоуровневая архитектура системы мониторинга ИБ
- Интерполяция значений оценок математического ожидания и дисперсии количества сообщений ИБ в таблице моментов
- Интеграция блока адаптивной настройки средств защиты информации в систему мониторинга ИБ
- Разработка вариантов настроек для средств защиты информации
Введение к работе
Актуальность темы. Информационно-телекоммуникационная сеть (ИТС) крупной корпоративной организации часто насчитывает десятки средств защиты информации (СЗИ), входящие в состав системы обеспечения информационной безопасности (СОИБ). Каждое из СЗИ может регистрировать сотни тысяч событий информационной безопасности (ИБ) в день. Большинство из этих сообщений ИБ являются результатом нормальной сетевой активности, и лишь немногие свидетельствуют о наличии реальных атак в ИТС. Поэтому в настоящее время мониторинг ИБ ИТС в динамически меняющейся сетевой среде является очень важной и сложной задачей. Для решения этой задачи используются системы мониторинга ИБ, которые осуществляют сбор сообщений ИБ, приведение их к единому виду, агрегацию и корреляцию для выявления аномальной сетевой активности. Примерами таких систем являются: Netforencics, Cisco MARS, IBM Tivoli, HP Arcsight и т.п.
Помимо сообщений ИБ современные системы мониторинга ИБ хранят в своем банке данных большое количество данных, имеющих отношения к ИБ: сведения об уязвимости конечных систем, сведения о выполнении политик ИБ и т.п. Совокупность информации, хранящейся в подобном банке данных, может быть использована для поддержки принятия решений по обеспечению ИБ. Однако объемы этих данных их разнородный характер делают сложным учет всех возможных параметров. Таким образом, возникает противоречие между наличием параметров, влияющих на обеспечение ИБ организации, и отсутствием методики, позволяющей одновременно учесть все эти параметры и дать на их основе некоторую консолидированную оценку результатов мониторинга ИБ. Положительный эффект от методики получения консолидированной оценки результатов мониторинга ИБ заключается в том, что она может быть использована для повышения защищенности в процессе обеспечения ИБ ИТС и реализации упреждающей защиты ИТС.
Данное противоречие может быть разрешено посредством оперативной обработки разнородных данных хранящихся в БД системы мониторинга ИБ и рас-
чета на их основе некоторой консолидированной оценки результатов мониторинга ИБ. Консолидированная оценка позволит учесть все множество данных, хранящихся в системе мониторинга ИБ, при этом сведя их к значимому, релевантному и понятному единому индикатору. Полученный индикатор может быть далее использован для принятия быстрых корректных ответных действий обслуживающим персоналом системы мониторинга ИБ.
В направлении исследования систем мониторинга ИБ работали многие отечественные и зарубежные ученые: П.Д. Зегжда, А.В Лукацкий, О.Б. Макаревич, В.В Романов, Д.В. Ушаков, ИА. Шелудько, R. Bidou, Н. R. Debar, L. A. Johnson, R. Marchan, J. Myers, V. Paxson, J.S. Thomas, H. Zhang и другие.
В тоже время дальнейшего развития требуют методы обобщения результатов мониторинга ИБ, получения консолидированной оценки результатов мониторинга ИБ и способы построения централизованной упреждающей защиты.
Научно-технические проблемы защиты информационных ресурсов, информационных и телекоммуникационных систем определены в качестве основных направлений научных исследований в области обеспечения ИБ РФ, утвержденных Советом безопасности в 2008 г., что подчеркивает актуальность настоящей работы.
Тема работы соответствует пунктам 2, 14, 15 паспорта специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность».
Объект исследования. Объектом исследования являются системы мониторинга ИБ ИТС.
Предмет исследования. Предметом исследования являются методы и алгоритмы, используемые в работе систем мониторинга ИБ ИТС. В работе рассматриваются корпоративные ИТС, представляющие собой открытые среды с возможностью выхода в Интернет, а также сетевые атаки, которые могут быть идентифицированы посредством анализа данных, содержащихся в системах мониторинга ИБ. Рассматриваются системы мониторинга ИБ, построенные на базе реляционных СУБД.
Цель исследования. Целью работы является повышение защищенности ИТС посредством своевременного результативного выявления нарушений ИБ.
Задачи, решаемые для достижения поставленной цели. В рамках работы решаются следующие задачи:
исследовать методы и алгоритмы, используемые в работе систем мониторинга ИБ;
исследовать закон распределения количества сообщений ИБ;
разработать метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ;
разработать методику получения консолидированной оценки результатов мониторинга ИБ ИТС;
разработать практические рекомендации по улучшению систем мониторинга ИБ;
разработать программную реализацию, позволяющую получить консолидированную оценку результатов мониторинга ИБ и провести экспериментальную проверку ее работы.
Методы исследования. В качестве основных методов исследования применялись методы системного анализа, теории вероятности и математической статистики, теории нечетких множеств и нечеткой логики.
Основные научные результаты, полученные автором. На защиту выносятся следующие основные результаты работы:
метод и алгоритм выявления нарушений ИБ в потоке сообщений ИБ, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ;
методика получения консолидированной оценки результатов мониторинга ИБ, основанная на методах нечеткой логики и включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ и получения консолидированной оценки.
Научная новизна. Научная новизна работы заключается в следующем:
исследован закон распределения количества сообщений ИБ для различных временных интервалов при отсутствии атак в ИТС, который в дальнейшем используется в методе выявления нарушений ИБ в потоке сообщений ИБ;
разработан метод выявления нарушений ИБ в потоке сообщений ИБ, основанный на динамически обновляемой таблице моментов для известного закона распределения сообщений ИБ. Данный метод позволяет определить допустимое количество сообщений ИБ на различных временных интервалах и, как следствие, случаи превышения допустимого количества сообщений, что может являться сигналом аномальной сетевой активности;
создана методика получения консолидированной оценки результатов мониторинга ИБ, включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ и получения консолидированной оценки, используемые в процессе обеспечения ИБ ИТС.
Практическая значимость работы. Практическая значимость работы заключается в следующем:
результаты исследования могут использоваться организациями при проектировании и разработке собственных систем мониторинга ИБ и наметить дальнейшие перспективы развития систем мониторинга ИБ и комплексных систем защиты информации в целом;
программная реализация, позволяющая получить консолидированную оценку результатов мониторинга ИБ, может быть применена организациях в процессе обеспечения ИБ ИТС;
материалы диссертации также могут быть использованы при чтении курсов лекций по теории и практике защиты информации.
Достоверность результатов. Достоверность результатов исследования подтверждается формальными математическими выводами основных утверждений, сформулированных в работе, использованием известных проверенных на практике методов, соответствием предложенных улучшений общим архитектурным принципам построения СЗИ и результатами лабораторного эксперимента.
Реализация результатов исследования. Результаты диссертационной работы использованы в проектно-конструкторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Кибернетика и информационная безопасность» НИЯУ МИФИ. Внедрение результатов подтверждается соответствующими актами.
Апробация результатов и сведения о публикациях. Основные положения диссертационной работы нашли отражение в 13 публикациях по теме проведенного исследования, 4 из которых опубликованы в журналах Перечня ВАК и 9 тезисов научных докладов. Результаты диссертационной работы докладывались на Всероссийской научно-технической конференции «Проблемы информационной безопасности в системе высшей школы» (Москва, 2008-2010 гг.), конференции «Технологии Microsoft в теории и практике программирования» (Москва, 2008 г.), конференции «Информационная безопасность» (Красноярск, 2008 г.), международная конференция «Информационная безопасность» (Таганрог, 2008 г.), общероссийской научно-технической конференции «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2008 г.), а также на семинарах кафедры «Информационной безопасности банковских систем» НИЯУ МИФИ (Москва, 2009-2010 гг.).
Высокоуровневая архитектура системы мониторинга ИБ
Перед первыми реализациями систем мониторинга ИБ ставились следующие задачи: а) наблюдение в режиме реального времени за состояниями следующих объектов: виртуальными частные сетями, МЭ, СОПВ, системами отражения DDoS-атак, антивирусами, средствами борьбы со шпионскими программами и прочим вредоносным кодом, обновлениями программного обеспечения, персональными и портативными компьютерами, серверами и т.п.; б) динамическая визуализация атак на единой консоли управления, с целью их дальнейшего анализа и анализа их последствий; в) анализ данных журналов регистрации событий ИБ, сведений об уязвимостях, информации о ресурсах и сигналах тревоги; г) немедленное принятие ответных мер при возникновении потенциальных угроз ИБ и быстрое разрешение проблемных ситуаций в сфере безопасности; д) построение графических отчетов по событиям ИБ [4]. Со временем круг решаемых задач расширился, к ним добавились следующие: а) оценка рисков нарушения ИБ для анализа общей защищенности сети и активов, находящихся в ней; б) приоритезация обработки инцидентов ИБ; в) документирование инцидентов ИБ и поддержание банка данных по обработке инцидентов ИБ; г) долговременное хранение данных мониторинга для обеспечения доказательств в случае проведения расследований и отслеживания состояния ИБ организации в течение времени [70]. Национальный, стандарт ГОСТ ИСО/МЭК 27001 устанавливает требования по созданию, внедрению, эксплуатации, мониторингу, анализу, поддержке и совершенствованию системы менеджмента ИБ (СМИБ). Стандарт представляет собой наилучшие практики по управлению безопасностью организации. Поскольку мониторинга ИБ является важной составной частью стандарта, то ГОСТ ИСО/МЭК 27001 во многом определяет стратегию развития систем мониторинга ИБ. Это значит, что к задачам систем мониторинга ИБ в ближайшее время будут добавлены следующие положения обязательного для выполнения Приложения А ГОСТ ИСО/МЭК 27001: А.7 Управление активами; А. 14 Управление непрерывностью бизнеса; А. 15 Обеспечение соответствия требованиям нормативных документов". Таким образом, системы мониторинга ИБ прошли путь от программных продуктов по концентрации и анализу журналов регистрации событий ИБ до комплексных решений, реализующим и поддерживающим СМИБ организации. Сегодня каждый крупный производитель в области ИБ предлагает свой вариант системы мониторинга ИБ, среди них можно выделить: Arcsight ESM, Network Intelligence envision, Novell Sentinel, Cisco MARS, Symantec SIM, Netforensics nFX OSP; CA eTrust Security Command Center, Intellitactics Security Manager, ActiveWorx, IBM Tivoli Risk Manager, NetlQ Security Manager, LogLogic, Sensage, NeuSecure, Checkpoint Eventia. В некоторых из решений уже частично присутствуют функции для реализации вышеперечисленных положений ГОСТ ИСО/МЭК 27001, остальные стараются не отставать от лидеров. Большинство из продуктов реализуют схожий функционал, но при этом различные решения имеют некоторые отличия. Более того, система мониторинга ИБ не будет эффективно работать, если нет соответствующих нормативных документов, установленных регламентов и подразделения специалистов ИБ, которые его поддерживают. Чтобы понять отличия между различными продуктами и определить недостающие элементы и области усовершенствования систем мониторинга ИБ, далее будут рассмотрены архитектура и функциональное устройство применяемых сегодня систем мониторинга ИБ, применяемые в них методы и алгоритмы и организационная структура используемые в работе систем мониторинга ИБ. 1.2 Архитектура и функциональное устройство систем мониторинга ИБ С точки зрения архитектуры и функционального устройства систем мониторинга ИБ наиболее важными для рассмотрения и анализа являются высокоуровневая архитектура систем мониторинга ИБ и процесс обработки данных в системах мониторинга ИБ. 1.2.1 Высокоуровневая архитектура системы мониторинга ИБ Выделяют следующие пять основных технических операций, которые выполняет система мониторинга ИБ [7]: регистрация сообщений о событиях ИБ (сообщений ИБ); сбор сообщений ИБ; хранение сообщений ИБ; анализ последовательностей сообщений ИБ; выработка ответной реакции на сообщения ИБ. За выполнение каждой из этих операций в рамках системы мониторинга ИБ отвечает отдельный модуль или отдельный блок. Для удобства в рамках данной работы будут использованы следующие обозначения: Г-блок: генерирует сообщения ИБ (для именования блока использовалась первая буква словосочетания «генерация сообщений»); Б-блок: хранит базу данных (БД) сообщений ИБ (для именования блока использовалась первая буква словосочетания «база данных»); Р-блок: вырабатывает ответную реакцию (для именования блока использовалась первая буква слова «реакция»); А-блок: отвечает за анализ сообщений ИБ (для именования блока использовалась первая буква слова «анализ»); С-блок: отвечает за сбор и нормализацию сообщений ИБ (для именования блока использовалась первая буква словосочетания «сбор и обработка сообщений»). 3-блок: отвечает за управление знаниями об инцидентах и поддержание БД сигнатур СОПВ и БД уязвимостей (для именования блока использовалась первая буква слова «знания») [74]. Каждый блок описывает функциональную группу модулей, выполняющих определенные действия. Например, С-блок может представлять собой множество приложений, генерирующих сообщения о событиях ИБ посредством стандартного интерфейса Syslog (UDP/514). С-блок может также быть представлен СОПВ, МЭ, системами фильтрации почтовых сообщений и всевозможными СЗИ [7].
Интерполяция значений оценок математического ожидания и дисперсии количества сообщений ИБ в таблице моментов
Математическое ожидание и дисперсия распределения на соседних временных интервалах должны не очень сильно отличаться, поэтому их оценки могут быть получены в результате интерполяции по значениям, хранящимся в специально для этого созданной таблице моментов (имеются в виду 1 и 2 моменты случайной величины). В ходе экспериментов было установлено, что метод квадратичной интерполяции позволяет получить наиболее точные значения оценок математического ожидания и дисперсии.
Для отслеживания цикличности сообщений ИБ используется таблица моментов. В рамках данной работы таблица моментов содержит 24 значения для математического ожидания и 24 значения дисперсии, соответствующие каждому часу в сутках. В типовой организации размеры таблицы моментов будут выбираться исходя из цикличности сообщений ИБ. Значения, хранящиеся в таблице моментов, динамически обновляются посредством экспоненциального скользящего среднего после получения очередного количества сообщений ИБ. Метод экспоненциального скользящего среднего представляет собой взвешенное скользящее среднее, у которого веса уменьшаются экспоненциально с удаленностью рассчитываемой величины от текущего значения наблюдения. Комбинация методов интерполяции значений таблицы моментов и расчета значений экспоненциальным скользящим средним позволяет оценивать как цикличность сообщений ИБ, так и долговременные тенденции.
Метод выявления нарушений ИБ в потоке сообщений ИБ ИТС (функция fx) реализуется последовательностью из четырех основных шагов, которые применяются каждый раз при получении очередного количества сообщений ИБ xt: 1) интерполировать значения в таблице моментов и получить оценку параметров для нормального распределения Ft для t-ro интервала времени; 2) обновить значения таблицы моментов в соответствие с полученным значением xt; 3) оценить xt путем расчета его стандартной оценки Zt на основании параметров распределения Ft; 4) рассчитать значение 1х на основании стандаршой оценки Zt. В отличие от известных подходов данный метод позволяет динамически рассчитывать пороговые значения, учитывать значения количества сообщений ИБ на соседних временных интервалах и выявлять как моментальные атаки, так и атаки, распределенные во времени, на уровне ИТС. Более детальное описание шагов настоящего метода приведено далее.
Интерполяция значений оценок математического ожидания и дисперсии количества сообщений ИБ в таблице моментов Для того чтобы определить пороговые значения для количества сообщений ИБ необходимо знать оценки математического ожидания и дисперсии количества сообщений ИБ на заданном интервале времени. Оценки математического ожидания и дисперсии количества сообщений ИБ могут быть получены несколькими способами. Очевидным решением является сохранение исторических данных для каждого возможного интервала времени [101], [102], [103]. Преимуществом такого подхода является то, выявление отклонений производится на основании сравнения с достоверными историческими данными, и таким образом повышается точность определения аномалий. Недостатками такого подхода является то, что, во-первых, необходимо хранить большое количество данных (значения оценок математического ожидания и дисперсии) для каждого из временных интервалов, во-вторых, данное решение является не масштабируемым с точки зрения архитектуры, поскольку изменение интервала времени потребует изменения структуры базы данных и программного кода, реализующего подобный функционал.
В рамках настоящей работы на основании эмпирических данных было показано, что значения оценок математического ожидания и дисперсии количества сообщений ИБ на соседних временных интервалах не сильно отличаются друг от друга, а изменение этих значений происходит достаточно плавно [ПО]. В подобной ситуации возможно сохранять лишь ключевые значения оценок математического ожидания и дисперсии количества сообщений ИБ, например, значения оценок для каждого часа, и получать остальные значения оценок математическими методами. Фактически задача заключается в том, чтобы по известным точкам построить функцию, на которую могли бы с высокой точностью попадать значения оценок математического ожидания и дисперсии количества сообщений ИБ. Такая задача называется аппроксимацией кривой и решается методами экстраполяции или интерполяции. Методы экстраполяции в данной ситуации плохо подходят, потому что для прогнозирования показателя на их основе нужны достоверные данные по его динамике не менее чем за 5 периодов времени [112]. Интерполяция лучше подходит, так как выполняется проще и точнее, чем экстраполяция [113].
Таким образом, в данной работе оценки математического ожидания и дисперсии количества сообщений ИБ на соседних временных интервалах будут получены методом интерполяции по ключевым значениям, хранящимся в специально созданной для этого таблице моментов. К сложностям данного такого подхода относится то, что выбранный способ интерполяции должен обеспечивать достаточную точность, чтобы давать результаты, совпадающие в пределах погрешности с реальными историческими данными. К преимуществам такого подхода являются оптимизация количества сохраняемых данных и хорошая масштабируемость. Существует несколько способов интерполяции. На практике чаще всего применяют интерполяцию многочленами. Это связано с тем, что многочлены легко вычислять, легко аналитически находить их производные и множество многочленов плотно в пространстве непрерывных функций (теорема Вейерштрасса) [114]. Были исследованы следующие возможные варианты интерполяции многочленами: линейная; квадратичная; кубическая. Чем больше степень многочлена, тем более точным получается результат интерполяции, но тем более сложным является расчет значений. Таким образом, необходимо выбрать наиболее простой способ интерполяции, который будет предоставлять необходимую точность. Для сравнения различных способов интерполяции между собой были использованы данные о количествах сообщений ИБ, полученные в течение 8 недель на лабораторном стенде. Для собранной статистики рассчитывались значения оценок математического ожидания и дисперсии количества сообщений ИБ на каждом заданном временном интервале, и затем эти значения сравнивались с оценками, полученными различными способами интерполяции на тех же временных интервалах.
Интеграция блока адаптивной настройки средств защиты информации в систему мониторинга ИБ
Современные СЗИ способны оперативно выявлять сетевые атаки в ИТС. Однако наиболее эффективным является подход, при котором различные СЗИ взаимодействуют для совместного формирования единого коррелированного сигнала тревоги в рамках системы мониторинга ИБ ИТС. Объединение информации из нескольких отдельно использующихся СЗИ позволяет выявлять комплексные атаки ИБ. Вообще говоря, человек обладает способностью к обобщенной обработке данных (например, обобщение данных от пяти различных чувств восприятия вкуса, или обобщение текущего восприятия с долговременной памятью и опытом) [116]. Несмотря на это, обобщение данных в рамках системы мониторинга ИБ ИТС необходимо [118].
Современные промышленные, финансовые, военные или иного рода сложные системы не мыслятся без использования компьютерных средств и комплексов для обеспечения сбора, обработки, хранения и представления требуемой информации и надежного выполнения технологических операций. Компьютеризация привела к возрастанию былой сложности систем в десятки, сотни тысяч раз. Сложность измеряется не столько количеством комплектующих элементов, сколько множеством вариантов функционального поведения системы в зависимости от внешней обстановки [119]. Это с одной стороны дает большие преимущества, с другой стороны значительно увеличивает доступные для анализа объемы данных. В определенный момент информации становится слишком много для того, чтобы человеческий мозг смог ее успешно оперативно обработать (быстрое принятие правильного решения в стрессовой ситуации). Абстрактная природа обрабатываемых данных еще более усложняет ситуацию. В результате становится очень трудно идентифицировать, что является действительно важным. Сложность выявления релевантной информации может привести к принятию неверного решения или предотвратить принятие решения вообще [116].
Как показано в работе [117], большое количество данных, имеющих отношение к ИБ, значительно затрудняет процесс обнаружения и предотвращения атак. Использование технологий обобщения данных позволяет снизить объем данных, необходимых для принятия решения более чем на 60% и при этом выявлять опасную сетевую активность с менее чем 2% ложных срабатываний.
Технологии обобщения данных помогают оперативно обрабатывать большое количество информации. Использование технологий обобщения данных приводит к результатам, которые являются значимыми, релевантными, понятными и применимыми к контексту анализа (месту и времени) [121]. Мнение экспертов и опыт могут быть далее применены к полученным результатам, тем самым обеспечивая принятие быстрых правильных решений по управлению системами [120].
В работах [116], [118], [122] предлагается создать мета СЗИ, которое будет фильтровать избыточные данные, анализировать смешанные атаки, используя корреляцию сообщений безопасности от каждого сенсора и быстро реагировать на атаки. Отличие настоящей работы от вышеупомянутых заключается в следующем: мониторинг ИБ ведется не для отдельных устройств, а на уровне ИТС. Таким образом, в процессе мониторинга ИБ обрабатывается и обобщается информация от всего множества СЗИ организации; значительные объемы данных, имеющих отношение к ИБ, сводятся к единой консолидированной оценке, упрощающей процесс принятия необходимых решений по управлению ИБ; анализ и синтез производятся для разнородных данных, таких как количество сообщений ИБ, выполнение политик безопасности и уязвимости конечных систем; результаты мониторинга ИБ являются основой для создания упреждающей защиты, поскольку происходит обобщение разнородных данных, на основе которых возможно принятие консолидированного решения по управлению ИБ. Для получения консолидированной оценки формально требуется найти функцию F : {Ix, Is, Iv} , где Ix, Is, Iv — показатели, позволяющие оценить количество сообщений ИБ, выполнение политик безопасности и уязвимости конечных систем соответственно, — консолидированная оценка. Для решения данной задачи применяются методы теории нечетких множеств и нечеткой логики. В работе предлагается использовать одномерную оценку, поскольку она позволяет судить о состояние защищенности ИТС в целом. Преимуществами подобного подхода являются: простота понимания и интерпретации - использование многомерных оценок или множественных метрик повышает сложность понимания результатов мониторинга ИБ. Наличие одной консолидированной оценки позволяет задать единую простую и понятную шкалу оценивания защищенности ИТС; скорость принятия решений - чем больше оценок показателей ИБ получается в результате анализа, чем больше времени требуется на принятие решение, поскольку требуется сопоставить различные оценки и сделать окончательный вывод. Наличие лишь одной консолидированной оценки ликвидирует необходимость сопоставления различных оценок при принятии решения. интуитивность использования — расчет консолидированной оценки основан на методах нечеткой логики. Таким образом, консолидированная оценка позволяет построить модель приближенных рассуждений человека. В результате рассуждений человек, как правило, приходит к какому-то единому конечному выводу, на основании которого он принимает решение. В роли такого вывода выступает консолидированная оценка; удобство при принятии ответных действий на уровне ИТС - консолидированная оценка не имеет своей целью указать на причину инцидента ИБ. Вместо этого она является индикатором того, что необходимо начать расследование причин инцидента ИБ и если возможно предпринять определенные быстрые ответные действия на уровне ИТС. Выбор методов нечеткой логики обусловлен следующими ее возможностями: оперирование нечеткими входными данными и непрерывно изменяющимися во времени значениями. В БД системы мониторинга ИБ может содержаться большое количество как технических, так и не технических данных, которые необходимо учитывать в процессе принятия решений (например, сведения об уязвимостях ИБ, информация о выполнении политик ИБ и т.д.); проведение качественных оценок, как входных данных, так и выходных результатов: оперирование не только значениями данных, но и их степенью достоверности и ее распределением; нечеткая формализация критериев оценки и сравнения: оперирование критериями «большинство», «возможно», «преимущественно», а также возможность обработки лингвистически сформулированных экспертных знаний [100]; нечеткая логика является многозначной логикой, что позволяет определить промежуточные значения для таких общепринятых оценок, как «данет», «истинно]ложно», «защищеноне защищено». Многозначность позволяет более гибко моделировать систему и формулировать математически и обрабатывать на компьютерах промежуточные значения показателей, характеризующих ИБ в ИТС; проведение быстрого моделирования сложных динамических систем и их сравнительного анализа с заданной степенью точности. Используя принципы поведения систем, описанные методами нечеткой логики, можно сократить время, необходимое на выяснение точных значений переменных и составление описывающих уравнений, а также оценить разные варианты выходных значений [53].
Разработка вариантов настроек для средств защиты информации
Методика получения консолидированной оценки результатов мониторинга ИБ представляет собой мощный инструмент обобщения аналитических данных. Технологии обобщения данных помогают оперативно обрабатывать большое количество информации. Использование технологий обобщения данных приводит к результатам, которые являются значимыми, релевантными, понятными и применимыми к контексту анализа (месту и времени). Мнение экспертов и опыт могут быть далее применены к полученным результатам, тем самым обеспечивая принятие быстрых правильных решений по управлению системами.
В рамках настоящей работы методика получения консолидированной оценки рекомендуется для использования в составе систем мониторинга ИБ ИТС и создания упреждающей защиты. В рамках ИТС данная методика может использоваться для управления инцидентами ИБ, а также позволяет снизить уровень остаточного риска. К преимуществам методики можно отнести тот факт, что она позволяет учесть человеческий фактор. Как известно 80% угроз в ИТС идут от человека, а не от техники. Тем не менее большинство современных решений, основаны исключительно на технической информации. Также преимуществом методики является то, что она не выстраивает всю структуру подсистемы ИБ заново, а предлагает использование уже существующей базы данных. Засчет этого решение получается наиболее полным и мощным, а также более быстрым в развертывании и настройке. Важной особенностью является то, что методика работает настолько хорошо, насколько адекватным является имеющийся входной метриал.
Реализованный подход по обобщению аналитических данных может быть также использован в смежных областях. Например, можно создать централизованную БД в Интренете, содеражащую различную информацию об онлайн-угрозах. Применяя методику получения консолидированной оценки к этой БД можно динамически менять настройки браузеров пользователей (или переключаться между шаблонами «high», «medium», «low») в зависимости от наличия угроз в Интернете. Это позволит повысить как защищенность работы пользователей в Интернете, так и удобство использования.
Другим примером является использование методики получения консолидированной оценки для повышения производительности труда. Можно создать специальную БД, в которой будет сохраняться информация об обращении пользователей к различным серверам в Интернете, таким как Веб-сайты социальных сетей, новостным Веб-сайты, профессиональные Веб-сайты. Создание подобной БД может быть достаточно просто реализовано с использованием современных систем фильтрации URL-запросов. Применяя методику получения консолидированной оценки к подобной БД и обобщая содержащиеся в ней данные, можно делать выводы, о том, насколько сотрудники компании сконцентрированы на выполнении функциональных обязанностей и какая на текущий момент производительность труда.
В перспективе можно анализировать такую информацию, как: встречи сотрудников в календаре Outlook, распределение трафика в течение дня, распределение структуры звонков, некорректное поведение сотрудников, обращение к Веб-сайтам поиска работы. Обобщение подобных данных позволяет фактически перейти от чисто технических задач, к задачам управления непрерывностью бизнеса, задачам поддержки принятия решений для бизнеса и задачам анализа бизнес-рисков. Таким образом, разработанная методика получения консолидированной оценки результатов мониторинга ИБ имеет достаточно широкие возможности по применению и созданию положительного эффекта в виде снижения различных рисков и повышения производительности.
Результаты диссертационной работы использованы в проектно-консгрукторской деятельности ООО «ЛИНС-М», ЗАО «ДиалогНаука», использованы в составе комплекса защиты ИТС ОАО «Российский Сельскохозяйственный банк», а также внедрены в учебный процесс на факультете «Информационная безопасность» НИЯУ МИФИ.
Внедрение осуществлялось на базе следующих результатов диссертационного исследования: аналитические материалы по системам мониторинга ИБ ИТС, включая архитектуры и функциональное устройство систем мониторинга ИБ ИТС, методы и алгоритмы, используемые в работе систем мониторинга ИБ ИТС, и сопутствующую организационную структуру подразделений ИБ; метод выявления нарушений ИБ в потоке сообщений ИБ ИТС, основанный на динамически обновляемой таблице моментов, для известного закона распределения сообщений ИБ, позволяющий определить допустимое количество сообщений ИБ на различных временных интервалах и, как следствие, случаи превышения допустимого количества сообщений, сигнализирующие об аномальной сетевой активности; методика получения консолидированной оценки результатов мониторинга ИБ, включающая в себя методы и алгоритмы выявления нарушений ИБ в потоке сообщений ИБ ИТС и получения консолидированной оценки, используемая в процессе обеспечения ИБ ИТС; практические рекомендации по улучшениям систем мониторинга ИБ, включая интеграцию блока адаптивной настройки СЗИ в систему мониторинга ИБ, создание многоуровневой системы хранения сообщений ИБ, развитие корреляционного анализа сообщений ИБ, реализацию межкорпоративной корреляции сообщений ИБ. В ООО «ЛИНС-М» результаты работы были использованы в проектно-конструкторской деятельности, а также в рамках выполнения научно-исследовательских работ 000 «ЛИНС-М». Разработанное в рамках диссертационной работы программное инструментальное средство входит в состав методики получения консолидированной оценки результатов мониторинга ИБ и используется в составе испытательного стенда для демонстрации решения заказчикам 000 «ЛИНС-М». В ЗАО «ДиалогНаука» результаты работы были использованы в- проектно-конструкторской деятельности. Разработанное в рамках диссертационной работы программное инструментальное средство, входящее в состав методики получения консолидированной оценки результатов мониторинга ИБ, используется на испытательном стенда для демонстрации решения заказчикам ЗАО «ДиалогНаука».
В ОАО «РОССИЙСКИЙ СЕЛЬСКОХОЗЯЙСТВЕНЫЙ БАНК» результаты работы были использованы в практической деятельности управления информационной безопасности. Разработанное в рамках диссертационной работы программное инструментальное средство использует базу данных ПО Arcsight системы мониторинга ИБ для получения консолидированной оценки и реализации блока адаптивной настройки СЗИ на опытном участке вычислительной сети ОАО «РОССИЙСКИЙ СЕЛЬСКОХОЗЯЙСТВЕНЫЙ БАНК».
Похожие диссертации на Выявление нарушений информационной безопасности по данным мониторинга информационно-телекоммуникационных сетей
