Разработка методики комплексного мониторинга угроз с использованием технологии SIEM на основе модели векторов атак

Введение
В настоящее время автоматизированные информационные системы нередко становятся целью атаки злоумышленников, так как содержат важную для функционирования предприятия информацию, данные о патентах и разработках, персональные данные клиентов и сотрудников, позволяют получить доступ к другим различным системам предприятия.
Согласно статье 16 Федерального закона от 27.07.2006 N 149-ФЗ "Об информации, информационных технологиях и о защите информации" операторы информационных систем обязаны обеспечивать защиту информации, обрабатываемой в таких системах, путем предотвращения несанкционированных действий (доступ, модифицирование, удаление, блокирование, копирование и пр.) с информацией, предупреждения возможностей неприятных последствий, а также постоянного контроля за обеспечением должного уровня защищенности информационной системы. [1]
Мониторинг угроз безопасности информации позволяет не только своевременно выявлять негативное воздействие на информационную систему от злоумышленника, но и пресекать атаки эксплуатирующие угрозы и уязвимости автоматизированной информационной системы, что в совокупности помогает обеспечивать должный уровень защищенности информационной системы.
Для обеспечения мониторинга угроз безопасности одним из вариантов комплексных решений является технология security information and event management (SIEM). Использование этой технологии решает задачи сбора и анализа информации от множества источников, оперативного реагирования на реализацию атак, подозрительную активность, нарушение политик безопасности, принятия решений по заранее определенным правилам, а также генерации отчетов для удобного восприятия пользователем. Готовые решения для SIEM-систем, предлагаемые поставщиком, представляют собой, как правило, общие закономерности, которые пригодны для внедрения в любой

организации. Однако для использования всего потенциала технологии этого недостаточно.
Создание собственных правил для SIEM-системы позволяет не только охватить большой объем специфических событий, характерных для конкретной организации, настроить работу SIEM под собственную политику безопасности и обеспечить своевременное реагирование администратора безопасности на инциденты, но и окупить такое решение за более короткий срок. Написание правил для SIEM является довольно трудоемкой задачей, потому что аналитику приходится обрабатывать достаточно большие объемы данных с целью поиска корреляций между различными событиями безопасности.
Разработка методики, созданной специально для настройки SIEM- системы, поможет быстрее и точнее настраивать правила корреляции событий, что, в свою очередь, позволит обеспечить качественный мониторинг угроз безопасности информации.
Целью дипломной работы является разработка методики комплексного мониторинга угроз безопасности информации с использованием технологии SIEM на основе модели векторов атаки. Для достижения цели дипломной работы были поставлены и решены следующие задачи:
1. Анализ преимуществ и недостатков методики определения актуальных угроз безопасности персональных данных при их обработке в информационной системе персональных данных ФСТЭК России и базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России.
2. Разработка алгоритма построения векторов атак на основе концепции Cyber-Kill Chain.
3. Разработка модели угроз безопасности информации на основе векторов атак с учетом корреляции вероятностей возникновения угроз.

4. Оценка эффективности разработанной методики в автоматизированной информационной системе с применением технологии SIEM.

Содержание

Введение 15
1 Анализ методики определения актуальных угроз безопасности и модели угроз ФСТЭК России 18
1.1 Анализ методики определения актуальных угроз безопасности ФСТЭК России 18
1.2 Анализ базовой модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных ФСТЭК России 20
1.3 Обзор проекта методики моделирования угроз безопасности информации ФСТЭК России, 2020 год 22
1.4 Вывод по разделу 24
2 Разработка методики комплексного мониторинга угроз на основе модели векторов атак 25
2.1 Разработка модели векторов атак 25
2.1.1 Понятие вектора атаки 25
2.1.2 Концепция Cyber-Kill Chain 27
2.1.3 Разработка алгоритма составления вектора атаки 28
2.2 Технология SIEM 31
2.2.1 Понятие машинных данных 31
2.2.2 SIEM 33
2.3 Настройка SIEM-системы на обнаружение векторов атак 35
2.4 Вывод по разделу 37
3 Оценка эффективности методики комплексного мониторинга угроз 37
3.1 Описание тестируемой автоматизированной ИС 37
3.2 Применение методики ФСТЭК России 43
3.2.1 Определение актуальных угроз согласно методике ФСТЭК России43 3.2.2 Определение состава мер защиты 48
3.2.3 Определение состава средств защиты информации 52
3.3 Применение разработанной методики 56
3.3.1 Определение актуальных угроз безопасности информации 56
3.3.2 Определение источников сведений и их параметров для настройки SIEM-системы на обнаружение векторов атак 58
3.4 Сравнение моделей. Оценка эффективности 64
3.5 Вывод по разделу 70
4 Обеспечение безопасности труда работников 71
4.1 Понятие умственного труда 71
4.2 Понятие гигиены труда 73
4.3 Организация гигиены умственного труда для повышения работоспособности 74

4.4 Определение режима труда и отдыха для администратора безопасности
.............................................................................................................................. 76
4.5 Определение комплекса упражнений для администратора безопасности
.............................................................................................................................. 77
4.6 Вывод по разделу 81
5 Экономическое обоснование 82
5.1 Постановка задачи 82
5.2 Оценка возможного ущерба 82
5.3 Затраты на внедрение методики комплексного мониторинга угроз 84
5.4 Расчет экономической эффективности 86
5.5 Расчет показателей экономической эффективности 87

5.6 Вывод по разделу 89
Заключение 90
Список используемой литературы и источников 91
Перечень компонентов контролируемых компетенций 95
Приложение А 96
Приложение Б 109
Приложение В 111
Приложение Г 112
Приложение Д 113

Добрый день! Уважаемые студенты, Вашему вниманию представляется дипломная работа на тему: «Разработка методики комплексного мониторинга угроз с использованием технологии SIEM на основе модели векторов атак»

Оригинальность работы 88%
________________________________________


Аннотация
Тема дипломной работы: «Разработка методики комплексного мониторинга угроз с использованием технологии SIEM на основе модели векторов атак».
Объём дипломной работы составляет 113 страниц, на которых размещены 30 рисунков и 19 таблиц. При написании диплома использовалось 33 источника литературы.
Ключевые слова: методика ФСТЭК, модель угроз, вектор атаки, технология SIEM, машинные данные, комплексный мониторинг угроз, актуальная угроза безопасности информации, концепция Cyber-Kill Chain, правила корреляции.
Объектом защиты при написании работы являются конфиденциальные данные, обрабатываемые в многопользовательской автоматизированной информационной системе.
В процессе работы проведен анализ методики ФСТЭК России по определению актуальных угроз безопасности информации. А также были изучены основные нормативно-правовых акты РФ в области защиты информации, сделаны выводы.
Второй и третий раздел дипломной работы посвящены разработке модели угроз на основе векторов атак, разработке методики комплексного мониторинга угроз безопасности информации с использованием технологии SIEM и оценке эффективности разработанной методики.
В последнем разделе приведено экономическое обоснование инвестиций для внедрения разработанной методики. Результатом стала оценка экономической эффективности, определяющая, что внедрение методики целесообразно для организации.

Список используемых сокращений

АИС – автоматизированная информационная система БД – база данных
БДУ – Банк данных угроз

ИС – информационная система ПО – программное обеспечение
СУБД – система управления базами данных УБИ – угроза безопасности информации
ФСТЭК – Федеральная служба по техническому и экспортному контролю

Список используемой литературы и источников
1. Об информации, информационных технологиях и о защите информации: Федеральный закон от 27.07.2006 № 149-ФЗ. Ст. 2 // СЗ РФ. 31.07.2006. № 31 (1 ч.). Ст. 3448.
2. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утверждена ФСТЭК России 14.02.2008.
3. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных 15.02.2008.
4. Методика моделирования угроз безопасности информации (проект) ФСТЭК, 2020 год.
5. Хусаинов А.А. Особенности и проблемы, возникающие при разработке моделей угроз безопасности информации [Текст] / А.А. Хусаинов, У.В. Михайлова // Безопасность информационного пространства. – 2016. – С.72-75.
6. Вектор атаки [Электронный ресурс] – URL https://ru.wikipedia.org/wiki/Вектор_атаки (дата обращения: 22.05.2020).
7. Liberty Alliance Whitepaper: Identity Theft Primer [Электронный ресурс] – URL: http://www.projectliberty.org/liberty/content/download/376/2687/file/id_ Theft_Primer_Final.pdf (дата обращения: 22.05.2020)
8. Грачков И.А. Информационная безопасность АСУ ТП: Возможные вектора атаки и методы защиты [Текст] / И.А. Грачков // Безопасность информационных технологий (IT Security). – 2018. - № 1. – С.90-99.
9. Промышленные компании: векторы атак [Электронный ресурс] – URL: https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/ (дата обращения: 22.05.2020).

10. Что такое Cyber-Kill Chain и почему ее надо учитывать в стратегии защиты [Электронный ресурс] – URL: https://habr.com/ru/company/panda/blog/327488/ (дата обращения: 23.05.2020).
11. Цепочка Kill Chain: от моделирования до проектирования защищенного периметра [Электронный ресурс] – URL: https:// www.securitylab.ru/ blog/personal/Informacionnaya_bezopasnost_v_detalyah/325123.php (дата обращения: 23.05.2020).
12. Yadav T. Technical Aspects of Cyber Kill Chain [Текст] / T. Yadav, A.M. Rao
// Security in Computing and Communications. – 2015. – C.438-452.

13. Банк данных угроз безопасности информации [Электронный ресурс] – URL: https://bdu.fstec.ru/ (дата обращения: 23.05.2020).
14. Год без Splunk [Электронный ресурс] – URL: https://habr.com/ru/post/484904/ (дата обращения: 24.05.2020).
15. SIEM [Электронный ресурс] – URL: https://ru.wikipedia.org/wiki/SIEM (дата обращения: 24.05.2020).
16. SIEM-системы [Электронный ресурс] – URL: https://www.anti- malware.ru/analytics/Market_Analysis/overview-global-and-russian-market-siem (дата обращения: 24.05.2020).
17. Что такое SIEM? [Электронный ресурс] – URL: https://www.securitylab.ru/analytics/430777.php (дата обращения: 24.05.2020).
18. Kotenko I. Attack Modeling and Security Evaluation in SIEM Systems [Текст]
/ I. Kotenko, A. Chechulin // International Transactions on Systems Science and Applications – 2012. – №8. – С.129-147.
19. Majeed Abdul. Near-miss situation based visual analysis of SIEM rules for real time network security monitoring [Текст] / Abdul Majeed, Raihan ur Rasool, Farooq Ahmad, Masoom Alam, Nadeem Javaid // Journal of Ambient Intelligence and Humanized Computing – 2019. – №10. – С.1509-1526.

20. LAMP [Электронный ресурс] – URL: https://ru.wikipedia.org/wiki/LAMP (дата обращения: 25.05.2020).
21. access.log [Электронный ресурс] – URL: https://ru.wikipedia.org/wiki/Access.log (дата обращения: 25.05.2020).
22. error.log [Электронный ресурс] – URL: https://ru.wikipedia.org/wiki/Error.log (дата обращения: 25.05.2020).
23. HeidiSQL [Электронный ресурс] – URL: https://ru.bmstu.wiki/HeidiSQL (дата обращения: 25.05.2020).
24. Splunk — общее описание платформы, базовые особенности установки и архитектуры [Электронный ресурс] – URL: https://habr.com/ru/company/tssolution/blog/323814/ (дата обращения: 25.05.2020).
25. Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных".
26. Физиология труда [Электронный ресурс] – URL: https://ru.wikipedia.org/wiki/Физиология_труда (дата обращения: 11.06.2020).
27. Куимова М. В. О гигиене умственного труда [Текст] / М.В. Куимова, Е.С. Пальчевская // Молодой ученый. – 2015. - № 6. – С.701-702.
28. Гигиена труда [Электронный ресурс] – URL:https://bigenc.ru/medicine/text/2357598 (дата обращения: 11.06.2020).
29. Гигиена труда [Электронный ресурс] – URL: https://ru.wikipedia.org/wiki/Гигиена труда (дата обращения: 11.06.2020).
30. Постановление Главного государственного санитарного врача РФ от 3 июня 2003 г. N 118 "О введении в действие санитарно-эпидемиологических правил и нормативов СанПиН 2.2.2/2.4.1340-03"

31. Физическая культура в режиме трудового дня [Электронный ресурс] – URL: http://www.magma-team.ru/biblioteka/biblioteka/teoriia-fizicheskoi-kultury- i-sporta/3-4-3-fizicheskaia-kultura-v-rezhime-trudovogo-dnia (дата обращения: 12.06.2020).
32. Статистика зарплат IT специалистов в Перми [Электронный ресурс] – URL: https://www.trud.com/perm/salary/873/67356.html (дата обращения: 15.06.2020).
33. SECURITY CAPSULE SIEM [Электронный ресурс] – URL: https://www.itb.spb.ru/products/Security_Capsule_SIEM/ (дата обращения 15.06.2020).