Файл: Современные технические средства выявления инцидентов информационной безопасности.pdf

Необоснованное количество взаимодействия между беспроводным клиентом и точкой доступа, используя EAP аутентификацию, что может говорить о возможной атаке подбора WPS пина с помощью Reaver / WPSCrack.

Выявление изменений в связи — подключение к другой точке доступа, которая может быть мошеннической ТД (Пользователю нужно оценить ситуацию, является ли имя ТД сходим).

Выявляет возможные мошеннические точки доступа, отвечающие за зонды от беспроводных устройств в округе.

2.4 Security Operation Center

Актуальной темой стало построение центров реагирования на инциденты информационной безопасности — Security Operation Center, или SOC.

SOC — это центр реагирования на критические инциденты информационной безопасности (ИБ), который позволяет осуществлять предотвращение атак и полный мониторинг на всех уровнях ИТ: сетевых пакетов, сетевых потоков, активности операционной системы, контента, поведения пользователей.  Платформа SOC обычно базируется на отказоустойчивой конфигурации SIEM, к которой дополнительно подключены источники данных об актуальных угрозах информационной безопасности (не вызывающих доверия IP, URL, бот-сетях), получаемые от ведущих лабораторий, которые занимаются обнаружением атак и противодействием киберпреступности.

Это даёт возможность агрегировать информацию об угрозах, выявлять больше инцидентов и обнаруживать атаки нулевого дня (zero day) в кратчайшие сроки.Система визуализации позволяет выводить операционную и сводную информацию заинтересованным лицам.

ЦЕЛИ И ПРОЦЕССЫ SOC

Цели SOC определяются в соответствии с бизнес-целями организации и должны быть зафиксированы документально. Можно использовать успешно зарекомендовавшую себя модель PDCA (Plan Do Check Act) (цикл Деминга-Шухарта). Она используется Международной организацией по стандартизации (ISO) как основа для формирования рекомендаций по различным направлениям обеспечения безопасности, в частности, в области управления инцидентами в стандарте ISO/ IEC 27035:2011 Information technology — Security techniques — Information security incident management. Согласно PDCA, деятельность SOC можно разделить на несколько процессов.

  PLAN: планирование и подготовка деятельности:

• разработка политик и процедур;

• доработка существующих политик и процедур безопасности и управления рисками для обеспечения поддержки деятельности SOC;

• создание и обеспечение деятельности SOC как организационной единицы;
• повышение квалификации сотрудников SOC и осведомлённости персонала организации по вопросам деятельности SOC;

• обеспечение периодического тестирования функций SOC;

DO: использование SOC:

• обнаружение и оповещение о возникших событиях ИБ;

• сбор информации о произошедших событиях ИБ для выявления инцидентов ИБ;

• реагирование на инциденты ИБ;

• регистрация свидетельств инцидента ИБ для последующего анализа;

• устранение выявленных причин возникновения инцидента ИБ;

CHECK-анализ:

• правовая экспертиза инцидента ИБ;

• анализ инцидента и извлечение уроков;

• определение необходимых улучшений системы безопасности;

• определение необходимых улучшений деятельности SOC, в том числе на основе сформированных ключевых индикаторов эффективности;

ACT: корректирующие воздействия для устранения выявленных несоответствий:

• корректировка результатов анализа рисков безопасности и анализа менеджмента в организации;

• пересмотр документации и повышение эффективности программно-технических средств SOC;

• реализация улучшений в области безопасности, включая внедрение новых и/или обновлённых защитных мер.

Заключение

В данной курсовой работе были рассмотрены следующие вопросы:

Понятие Инцидент информационной безопасности

Классификацию и примеры инцидентов информационной безопасности

Современные технические средства выявления инцидентов информационной безопасности.

Данные вопросы имеют большое значение в контексте ИБ на предприятии

Только обладая полным и достоверным набором событий, можно провести надлежащее расследование инцидентов, получить представление о состоянии системы ИБ. Важно, чтобы ни один инцидент ИБ не остался незамеченным, было проведено расследование, выявлены виновные и, самое главное, выполнены корректирующие и превентивные действия.

Список литературы

1. Защита информации в телекоммуникационных системах / Г.Ф. Конахович и др. - Москва: Высшая школа, 2017. - 288 c.
2. Ищейнов, В. Я. Защита конфиденциальной информации / В.Я. Ищейнов, М.В. Мецатунян. - М.: Форум, 2014. - 256 
3. Мельников, В. П. Защита информации. Учебник / В.П. Мельников, А.И. Куприянов, А.Г. Схиртладзе. - М.: Образовательно-издательский центр "Академия", 2014. - 304 c.
4. Партыка, Н. З. Емельянова. Т. Л. Партыка Защита информации в персональном компьютере. Учебное пособие / Н. З. Емельянова. Т. Л. Партыка Партыка, И.И. Попов. - М.: Форум, Инфра-М, 2015. - 368 c.
5. Сергеева, Ю. С. Защита информации. Конспект лекций / Ю.С. Сергеева. - Москва: ИЛ, 2015. - 128 c.
6. Соколов, А.В. Защита информации в распределенных корпоративных сетях и системах / А.В. Соколов, В.Ф. Шаньгин. - М.: ДМК Пресс, 2015. - 656 c.
7. Спесивцев, А.В. Защита информации в персональных ЭВМ / А.В. Спесивцев, В.А. Вегнер, А.Ю. Крутяков. - М.: Радио и связь, 2016. - 192 c.
8. Холево, А.С. Введение в квантовую теорию информации / А.С. Холево. - М.:, 2016. - 119 c.
9. Шаньгин, В.Ф. Защита информации в компьютерных системах и сетях / В.Ф. Шаньгин. - М.: ДМК Пресс, 2017. - 275 c.