Файл: Современные технические средства выявления инцидентов информационной безопасности.pdf
Добавлен: 29.03.2023
Просмотров: 151
Скачиваний: 1
СОДЕРЖАНИЕ
Глава 1 Характеристика инцидентов информационной безопасности
1.1 Инцидент информационной безопасности
1.5 Нормативные документы, стандарты
1.6 Процесс управления инцидентами ИБ
1.7 Обучение пользователей вопросам выявления инцидентов ИБ
Глава 2 Технические средства и системы выявления инцидентов ИБ
2.2 DLP система предотвращения утечек данных
Введение
Нарушения информационной безопасности (ИБ), хотим мы этого или нет, регулярно происходят в ходе повседневной деятельности любой организации и могут привести к весьма негативным последствиям: от отказа сервиса до прекращения деятельности в целом. Количество и частота появления таких нарушений или инцидентов ИБ1 существенно зависят от эффективности системы управления информационной безопасностью (СУИБ).
Инциденты ИБ возникают в ходе реализации угроз и могут быть преднамеренными или случайными (например, являться следствием ошибки пользователя или техногенной аварии). Соответственно существенным образом будут различаться и процедуры управления инцидентами: например, выявление и расследование утечки конфиденциальной информации, совершенной инсайдером из числа опытных администраторов, отличается от выявления нецелевого использования сети Интернет менеджером.
Тема работы: Современные технические средства выявления инцидентов информационной безопасности
Цель работы: Изучить современные технические средства выявления инцидентов информационной безопасности.
Задачи работы: рассмотреть:
Понятие Инцидент информационной безопасности
Классификацию и примеры инцидентов информационной безопасности
Современные технические средства выявления инцидентов информационной безопасности.
Глава 1 Характеристика инцидентов информационной безопасности
1.1 Инцидент информационной безопасности
Практически любая компания хоть раз сталкивалась с инцидентами в сфере информационной безопасности – это одно или несколько нежелательных или неожиданных событий, которые способствуют значительной вероятности компрометации бизнес-операций и создания серьезной угрозы ИБ. Классическими примерами считаются кражи персональных данных пользователей, искажение инфоактивов и различные нарушения требований законодательства.
1.2 Классификация
Инциденты информационной безопасности (ИБ) представлены десятками событий, объединенных в классификацию и делящихся по нескольким признакам:
По уровню тяжести для профессиональной деятельности компании.
По вероятному возникновению рецидива – повторное «заражение».
По типам угроз.
По нарушенным свойствам ИБ.
По преднамеренности возникновения.
По уровню информационной инфраструктуры.
По сложности выявления.
По сложности устранения и т.д.
1.3 Примеры инцидентов.
Инциденты могут быть случайными или умышленными, вызванными в области информационной безопасности техническими или иными средствами. Предугадать последствия влияния на всю систему сложно. Это может быть: раскрытие или изменение украденной информации, нанесение ущерба активам компании или их полное хищение и т.д.
Основные примеры:
Отказ в обслуживании. Большая категория, включающая события, которые приводят системы, сети или серверы к неспособности функционировать с прежними показателями и параметрами. Чаще всего проявляются, если пользователи в процессе авторизации получают отказ доступа. В данной группе инцидентов информационной безопасности (ИБ) выделяют несколько типов, создаваемых компьютерными и иными ресурсами: истощение и полное уничтожение ресурсов. Наиболее распространенные примеры: единовременный запуск сразу нескольких сеансов в рамках одной системы, передача данных в запрещенном формате в попытках вызвать различные нарушения или свести на «нет» их нормальную работу и т.д.
Сбор информации. Предусматриваются действия, связанные с установлением возможных, наиболее явных целей атаки и получением сведений о соответствующих сервисах [8]. Инциденты в этой категории предполагают выполнение разведывательных мероприятий, чтобы выявить: наличие цели и ее потенциальные уязвимости. Распространенные примеры атак с использованием технических устройств – сброс записей DNS, отправление сообщений-тестов по «левым» координатам для поиска функционирующей системы, исследование объекта для идентификации, анализ открытых поротов на протокол передачи файлов и т.д.
Несанкционированный доступ. Это остальные инциденты, которые не подходят под параметры вышеперечисленных категорий. Сюда входят несанкционированные попытки получения доступа к системе или ее неправильное использование. Типичные примеры – извлечение внутренних файлов с паролями, атаки переполнения буфера с целью получения привилегированного доступа к сети, использование уязвимостей протокола для перехвата важной информации, разрушение устройств физической защиты с последующим завладением данных и т.д.
Видов и примеров самых разных инцидентов информационной безопасности (ИБ) гораздо больше. Важно вовремя отреагировать и принять меры.
1.4 Реагирование на инцидент
Выявление и реагирование – это важные процедуры, направленные на борьбу с инцидентами в сфере информационной безопасности (ИБ). Во время них проявляются определенные уязвимости системы, обнаруживаются все следы атак и возможных вторжений. Осуществляется проверка механизмов защиты и т.д.
Расследование компьютерных инцидентов информационной безопасности и реагирование на них (независимо от вида) требует примера профессиональной политики — участия команды опытных специалистов, которые осуществят целый комплекс мероприятий, состоящий из нескольких последовательных шагов [7]:
Подготовка. Когда инцидент уже произошел, от специалистов требуются максимально выверенные и оперативные действия. Важна тщательная подготовка. Обеспечивается защита информационной системы. Сотрудники организации и пользователи информируются о необходимости обеспечения мер безопасности.
Обнаружение. Сотрудники организации или сторонние специалисты выясняют, относится ли найденное в системе, сети или сервере событие инцидентом или нет. Применяются различные аналитические средства, потоки данных об угрозах, публичные отчеты и остальные информационные источники, которые могут помочь.
Сдерживание. Специалисты осуществляют идентификацию скомпрометированных компьютеров. Настраивают систему безопасности таким образом, чтобы «заражение» не распространялось дальше. Происходит перенастройка, чтобы ИС могла и дальше работать без зараженных объектов.
Удаление. Основная цель этапа – приведение зараженной информационной системы в первоначальное состояние. Специалисты удаляют вредоносное программное обеспечение, а также другие объекты, которые остались после заражения.
Восстановление. «Обезвреженные» системы постепенно вводятся в основную рабочую сеть. Сотрудники, ответственные за ИБ, продолжают и дальше следить за их состоянием. Это нужно, чтобы удостовериться в полной ликвидации угрозы [5].
1.5 Нормативные документы, стандарты
Управление инцидентами - одна из важнейших процедур управления ИБ, рекомендованная международными и российскими стандартами в области ИБ. К настоящему времени в международной практике разработано достаточное количество нормативных документов, регламентирующих вопросы управления инцидентами, причем не только в рамках обеспечения ИБ (ISO/IEC 17799:2000, ISO/IEC 27001:2005 и др.), но и при управлении ИТ-сервисами в целом (ISO/IEC 20000:2005). Стандартом Банка России СТО БР ИББС 1.0-2008 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения" определено, что мониторинг событий и инцидентов в системе информационной безопасности используется для поддержания системы защиты на должном уровне в качестве оперативной меры, а менеджмент событий и инцидентов безопасности, полученных в результате мониторинга, позволяет избежать деградации и обеспечить требуемый уровень безопасности активов [3].
Вполне естественно, что каждая организация в построении системы управления инцидентами ИБ руководствуется определенными стандартами и требованиями руководства, учитывает уже имеющиеся наработки, опыт специалистов.
1.6 Процесс управления инцидентами ИБ
Политика реагирования на инциденты ИБ разрабатывается с учетом специфики организации, профиля ее деятельности. В большинстве организаций процесс управления инцидентами ИБ построен следующим образом:
получение информации об инциденте;
получение дополнительной информации, связанной с выявленным инцидентом;
анализ ситуации, локализация инцидента и оперативное применение контрмер;
установление причин, по которым стал возможен инцидент, и определение ответственных лиц (расследование);
проведение корректирующих и профилактических мероприятий.
Процедура управления инцидентами разрабатывается в рамках общей СУИБ и должна обеспечиваться соответствующими нормативными документами и всеобщей поддержкой пользователей.
Нормативные документы должны отражать следующие основные вопросы:
определение инцидента ИБ, перечень событий, являющихся инцидентами, и порядок оповещения ответственного лица о возникновении инцидента - для всех пользователей;
порядок выявления и расследования инцидента ИБ, устранения последствий и причин инцидента, а также проведения необходимых корректирующих и превентивных мероприятий - для работников подразделений ИБ.
1.7 Обучение пользователей вопросам выявления инцидентов ИБ
Инцидент ИБ может заметить пользователь или администратор системы. Как правило, администраторы знают, что следует делать в случае обнаружения инцидентов, чего не всегда можно сказать о пользователях. Поэтому важным аспектом построения системы управления инцидентами ИБ является обучение пользователей вопросам выявления таких инцидентов и реагирования на них.
Информация об инциденте ИБ может поступать из самых различных источников: средств обеспечения ИБ (межсетевых экранов, систем обнаружения атак, антивирусных систем, операционных систем и приложений, средств контроля физического доступа), от самих пользователей и администраторов, из внешних источников, в том числе средств массовой информации (например, из Интернета). Важно, чтобы были налажены такие процедуры, как мониторинг событий, контроль и мониторинг действий пользователей, системных администраторов и пр.
Процедуры сбора информации, используемые для выявления и расследования инцидентов, могут обеспечиваться как техническими, так и организационными мерами [1].
Глава 2 Технические средства и системы выявления инцидентов ИБ
2.1 Общее описание
События от различных технических средств защиты являются важнейшим поставщиком информации о процессах, происходящих в СУИБ, о нарушениях, рисках. Большое развитие получили системы обнаружения вторжений (IDS), используемые для обнаружения сетевых атак и вредоносной активности, технологии предотвращения утечек из информационной системы вовне (DLP-системы), различного рода аппаратно-программные средства, контролирующие состояние сети, информационные потоки и действия пользователей. Современные тенденции развития средств обеспечения ИБ демонстрируют переход от узкоспециализированных программных продуктов к интегрированным и автоматизированным программно-аппаратным комплексам, решающим сразу несколько задач по обеспечению ИБ, что позволяет существенно повысить эффективность получения информации об инцидентах и состоянии системы ИБ в целом [2].
Основными задачами, решаемыми с помощью технических средств и систем выявления инцидентов ИБ, являются:
осуществление централизованного сбора, обработки и анализа событий из множества распределенных гетерогенных источников событий;
обнаружение в режиме реального времени атак, вторжений, нарушений политик безопасности;
контроль за портами и устройствами ввода/вывода информации;
мониторинг действий пользователей;
предоставление инструментария для проведения расследований инцидентов ИБ, формирования доказательной базы по инциденту ИБ.
Анализ собранных данных включает исследование журналов работы различных систем, сообщений о событиях, просмотр состояния портов, свидетельств работы операционных систем, приложений, протоколов конфигурационных файлов, сообщений электронной почты и прикрепленных файлов, инсталлированных приложений и т.д., в результате чего подтверждается или опровергается факт возникновения инцидента ИБ.
В процессе анализа осуществляется структуризация и прио-ритизация инцидентов ИБ на основе определения степени критичности рассматриваемого ресурса и степени критичности воздействия на него, - так называемый эффект инцидента. Собранные данные подвергаются корреляции и выводятся на консоль работника подразделения ИБ.