Разработка системы мониторинга безопасности предприятия ООО «Неоматика» на основе модели векторов кибератак. Пояснительная записка на 92 страницах. Графическая часть на 4 листах. Допускается к защите Протокол заседания кафедры ат от 2020 г

11 ких месяцев, что существенно затрудняет ее обнаружение, так как администра- тор безопасности может и не заметить связи между несколькими событиями на отрезке в несколько недель, а специализированные системы обнаружения вторжений зачастую работают только с одним сегментом информационной си- стемы, будь то сеть или управление контролем доступа. Такие СОВ не видят полной картины.
Для решения подобной задачи может потребоваться более комплексное программное обеспечение, способное не просто замечать признаки попыток нарушения конфиденциальности, целостности и доступности информационной системы и данных в ней, но и находить взаимосвязи между такими событиями.
Для всего этого подойдет система мониторинга и управления событиями информационной безопасности, такая система способна находить корреляции между различными событиями ИБ. В проекте, решается задача по разработке
SIEM-системы, с добавлением к ней возможности сопоставления обнаружен- ных событий информационной безопасности признакам APT-атак.
Задача разработки собственной реализации системы мониторинга ставит- ся, вследствие невозможности использовать представленные на рынке вариан- ты SIEM-систем «из коробки». Для каждой такой системы необходима полно- ценная настройка, учитывающая специфику предприятия, необходимо создание дополнительных правил для обнаружения инцидентов информационной без- опасности, месяцы накопления статистики и корректировка уже созданных правил обнаружения. Все это требует дополнительных расходов и привлечения группы специалистов [3].
Основное направление в проекте сделано на разработку SIEM-системы, опирающуюся на категорирование признаков APT-атак. Это позволит обнару- жить целевую атаку на предприятие при минимальной настройке, что суще- ственно сокращает время развертывания и финансовые издержки. В первом разделе будет проанализирована общая информация о предприятии, необходи- мая для развертывания системы мониторинга безопасности.

12
1. Информация о предприятии
В настоящей проекте объектом защиты является информационная систе- ма предприятия ООО «Неоматика». «Неоматика» – Российская IT-компания, занимающаяся разработкой оборудования для ГЛОНАС/GPS мониторинга с
2012 года [4].
Основными направлениями деятельности компании являются:
1.
Производство автомобильных трекеров;
2.
Производство персональных трекеров;
3.
Производства датчиков температуры;
4.
Производство датчиков наклона;
5.
Производство датчиков уровня топлива;
6.
Написание программного обеспечения для объединения, произведенного компанией оборудования в единую экосистему.
Главный офис компании находится по адресу г. Пермь ул. Малкова 24А, на первом этаже жилого дома, вход со стороны внутреннего двора.
Местоположение предприятия представлено на рисунке 1.1
Рисунок 1.1 – Расположение предприятия

13
Окна офиса выходят на жилые дома напротив здания, где расположена компания. Под нужды организации отведены четыре помещения.
Как можно заметить на изображении выше, здание окружено парковкой.
Все стороны здания выходят на жилые дома.
Исходя из информации выше, следует заключить, что компания ООО
«Неоматика» может быть целью APT-группировок, так как она поставляет про- граммно-техническое оборудование на рынок. Это оборудование может являть- ся промежуточным звеном в иной, более крупной цепочке атак.
1.2. Информация об объекте защиты
Основным объектом защиты на предприятии выступает его информационная система.
Информационная система предприятия представляет собой как сервера с исходными кодами и «прошивками» программно-технических продуктов, так и персональные данные сотрудников организации [АОК-2-01з].
Информационная система состоит из следующих компонентов:
1. 1С: Предприятие (версия 7.7);
2. 1С: Предприятие (версия 8.2);
3. 1С: Камин расчет заработной платы (версия 3.0);
4. Oracle Database 11g
5. Visual SVN server
После сбора основной информации об организации, необходимо опреде- лить перечень возможных угроз предприятия. Для этого следует разработать частную модель угроз.
1.3. Частная модель угроз предприятия
1.3.1. Общие положения
Настоящая модель определяет актуальные угрозы безопасности информации при ее обработке в информационной системе предприятия ООО

14
«Неоматика».
Настоящая модель была разработана на основании следующих документов [АПК-2-01в]:
1.
Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, Утверждена заместителем директора ФСТЭК России
14 февраля 2008 г [6].
2.
Методика определения угроз безопасности информации в информационных системах, Проект 2015 г [7].
3.
Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных, Утверждена заместителем директора ФСТЭК России 15 февраля 2008 г [8].
1.3.2. Описание ИС
ИС предприятия состоит из следующих компонентов:
1. 1С: Предприятие (версия 7.7);
2. 1С: Предприятие (версия 8.2);
3. 1С: Камин расчет заработной платы (версия 3.0);
4. Oracle Database 11g
5. Visual SVN Server
1.3.3. Модель нарушителя
Целью оценки возможностей нарушителей по реализации угроз безопасности информации является формирование предположения о типах, видах нарушителей, которые могут реализовать угрозы безопасности информации в информационной системе с заданными структурно- функциональными характеристиками и особенностями функционирования, а также потенциале этих нарушителей и возможных способах реализации угроз безопасности информации.
С учетом наличия прав доступа и возможностей по доступу к

15 информации и (или) к компонентам информационной системы нарушители подразделяются на два типа:
1. внешние нарушители (тип I) – лица, не имеющие права доступа к информационной системе, ее отдельным компонентам и реализующие угрозы безопасности информации из-за границ информационной системы;
2. внутренние нарушители (тип II) – лица, имеющие право постоянного или разового доступа к информационной системе, ее отдельным компонентам.
Виды нарушителей и их возможные цели реализации угроз безопасности информации представлены в таблице 1.1
Таблица 1.1.Виды, типы и потенциал нарушителей
Виды нарушителей
Типы нарушителей
Возможные цели реализации угроз безопасности информации
Потенциал нарушителей
Преступные группы
Внешний
Причинение имущественного ущерба путем мошенничества или иным преступным путем. Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Низкий
Внешние субъекты Внешний
Идеологические или политические мотивы. Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации.
Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Низкий

16
Продолжение Таблицы 1.1. Виды, типы и потенциал нарушителей
Виды нарушителей
Типы нарушителей
Возможные цели реализации угроз безопасности информации
Потенциал нарушителей
Конкурирующие организации
Внешний
Получение конкурентных преимуществ. Причинение имущественного ущерба путем обмана или злоупотребление доверием
Средний
Разработчики, производители, поставщики программных, технических и программно- технических средств
Внешний
Внедрение дополнительных функциональных возможностей в программное обеспечение или программно-технические средства на этапе разработки. Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия
Средний
Лица, привлекаемые для установки, наладки, монтажа пусконаладочных и иных видов работ
Внутренний
Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия
Низкий
Лица, обеспечивающие функционирование информационной системы или обслуживающие инфраструктуру
Внутренний
Причинение имущественного ущерба путем обмана или злоупотребления доверием. Непреднамеренные, неосторожные или неквалифицированные действия
Низкий

17
Продолжение Таблицы 1.1.Виды, типы и потенциал нарушителей
Виды нарушителей
Типы нарушителей
Возможные цели реализации угроз безопасности информации
Потенциал нарушителей
Пользователи информационной системы
Внутренний
Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее совершенные действия.
Непреднамеренные, неосторожные или неквалифицированные действия
Низкий
Администраторы информационной системы и администраторы безопасности
Внутренний
Причинение имущественного ущерба путем мошенничества или иным преступным путем. Любопытство или желание самореализации. Месть за ранее совершенные действия.
Выявление уязвимостей с целью их дальнейшей продажи и получения финансовой выгоды
Высокий
Бывшие работники
Внешний
Причинение имущественного ущерба путем мошенничества или иным преступным путем. Месть за ранее совершенные действия
Низкий
Угрозы безопасности информации могут быть реализованы нарушителями за счет:
1. несанкционированного доступа и (или) воздействия на объекты на аппаратном уровне (программы (микропрограммы), «прошитые» в аппаратных компонентах (чипсетах));
2. несанкционированного доступа и (или) воздействия на объекты на общесистемном уровне (базовые системы ввода-вывода, гипервизоры, операционные системы);
3. несанкционированного доступа и (или) воздействия на объекты на прикладном уровне (системы управления базами данных, браузеры, web-

18 приложения, иные прикладные программы общего и специального назначения);
4. несанкционированного доступа и (или) воздействия на объекты на сетевом уровне (сетевое оборудование, сетевые приложения, сервисы);
5. несанкционированного физического доступа и (или) воздействия на линии, (каналы) связи, технические средства, машинные носители информации;
6. воздействия на пользователей, администраторов безопасности, администраторов информационной системы или обслуживающий персонал
(социальная инженерия).
1.3.4. Определение базового уровня защищенности
Исходя из того, что в ИС обрабатываются также и ПДн, то следует определить также базовый уровень защищенности ИС, как ИСПДн.
Под уровнем исходной защищенности ИСПДн понимается обобщенный показатель, зависящий от технических и эксплуатационных характеристик
ИСПДн. Характеристики ИСПДн приведены в таблице 1.2.
Таблица 1.2.Базовый уровень защищенности ИСПДн
Параметр
Значение
Уровень защищенности
По территориальному размещению
ИСПДн
Локальная ИСПДн, развернутая в пределах одного здания
Высокий
По наличию соединения с сетями общего пользования
ИСПДн физически отделенная от сети общего пользования
Высокий

19
Продолжение Таблицы 1.2.Базовый уровень защищенности ИСПДн
Параметр
Значение
Уровень защищенности
По разграничению доступа к персональным данным
ИСПДн, к которой имеют доступ определенный перечень лиц работников организации, являющейся владельцем
ИСПДн, либо субъектом ПДн
Средний
По наличию соединения с ПДн других ИСПДн
ИСПДн, в которой используется одна база ПДн, принадлежащая организации - владельцу ИСПДн
Высокий
По уровню обезличивания ПДн
ИСПДн, в которой предоставляемые пользователю данные являются обезличенными
Высокий
По объему ПДн, которые предоставляются сторонним пользователям
ИСПДн без предварительной обработки
ИСПДн не предоставляющая часть Пдн
Средний
Значению уровня защищенности
«Высокий» соответствуют
4 характеристики. Значению уровня «Средний» - 3 характеристики, значению уровня «Низкий» - 0 характеристик. Таким образом, числовой коэффициент исходной защищенности ИСПДн Оператора соответствует значению 5
(средняя).
1.3.5. Определение актуальных угроз безопасности
Актуальной считается угроза, которая может быть реализована в ИС и представляет опасность для конфиденциальной информации.
Актуальность угрозы определяется следующими параметрами:

20 1. уровень исходной защищенности ИС (в нашем случае, ИСПДн тоже);
2. частота (вероятность) реализации рассматриваемой угрозы.
Уровень исходной защищенности ИС и ИСПДн был представлен выше, в таблице 1.2.
Под частотой
(вероятностью) реализации угрозы понимается определяемый экспертным путем показатель, характеризующий, насколько вероятным является реализация конкретной угрозы безопасности КИ для данной ИС в складывающихся условиях обстановки. Вводятся четыре вербальных градации этого показателя:
1. маловероятно – отсутствуют объективные предпосылки для осуществления угрозы (например, угроза хищения носителей информации лицами, не имеющими легального доступа в помещение, где последние хранятся);
2. низкая вероятность – объективные предпосылки для реализации угрозы существуют, но принятые меры существенно затрудняют ее реализацию (например, использованы соответствующие средства защиты информации);
3. средняя вероятность - объективные предпосылки для реализации угрозы существуют, но принятые меры обеспечения безопасности конфиденциальной информации недостаточны;
4. высокая вероятность - объективные предпосылки для реализации угрозы существуют, и меры по обеспечению безопасности конфиденциальной информации н не приняты.
При составлении перечня актуальных угроз безопасности ИС каждой градации вероятности возникновения угрозы ставится в соответствие числовой коэффициент, а именно:
1.
0 для маловероятной угрозы;
2.
2 для низкой вероятности угрозы;
3.
5 для средней вероятности угрозы;

21 4.
10 для высокой вероятности угрозы.
Полный перечень угроз, с полным перечнем угроз безопасности информации, показателями опасности этих угроз и вероятностью их реализации, а также подсчитанными коэффициентами реализуемости угроз представлены в таблице А.1, в Приложении А
[
АПК-2-01з].
Следует отметить, что показатель опасности угрозы безопасности информации, так же как и перечень угроз утечки информации по техническим каналам и за счет несанкционированного доступа определяются на основании экспертной оценки
1.4. Выводы по разделу
При рассмотрении перечня актуальных угроз безопасности информации, представленных в таблице А.1, можно заметить, что большая часть актуальных угроз в том или ином виде являются признаками APT-атаки, речь о которых пойдет в следующем разделе.
Такими признаками являются:
1. Реализация угрозы повышения привилегий;
2. Реализация угрозы подмены программного обеспечения;
3. Реализация угрозы несанкционированного создания учетной записи пользователя;
4. Реализация угрозы внедрения кода или данных.
Следовательно, будет иметь смысл внедрение средства, способного свое- временно обнаружить реализацию определенных угроз. Таким средством явля- ется SIEM-система, анализ требований к реализации которой будут рассмотре- ны далее

22
2.Анализ требований по мониторингу событий безопасности
Системы мониторинга событий безопасности позволяют проводить ин- вентаризацию ресурсов автоматизированными средствами, анализировать сете- вые приложения, оборудование и веб-сервисы, сокращать затраты на проведе- ние аудита, автоматизировать процесс управления уязвимостями и обеспечи- вать контроль соответствия политикам информационной безопасности, приня- тым в организации [9].
Системы мониторинга и управления событиями информационной без- опасности, в общем случае, состоят из 4 компонентов:
1.
Компонент сбора информации, или же агрегатор, обеспечива- ет сбор информации из различных источников, таких как программное и аппаратное обеспечение, средства защиты информации, файлы логов;
2.
Компонент обработки информации, участвующий в обработке событий, собранных агрегатором, и корреляции по различным критериям, на основании которых принимается решение о наличии инцидента ин- формационной безопасности;
3.
Компонент хранения данных, который участвует в хранении данных в едином, понятном, как для остальных компонентов, так и для администратора;
4.
Компонент управления системой мониторинга событий ин- формационной безопасности, который нужен для более гибкой настройки параметров.
Так как любая SIEM-система, это, прежде всего, средство защиты информации, то перед тем, как сформировать требования к ней, следует разобраться в том, из чего состоит атака на информационную систему, и на какие этапы она подразделяется, а также в чем состоят меры защиты от такой атаки. Такой разбор атаки и мер защиты позволит определить на каком из этапов защиты должна работать SIEM, следовательно, требования, предъявляемые к реализации

23 системы мониторинга и управления событиями информационной безопасности, будут более осмысленными и актуальными [АОК-1-01в].
2.1. Этапы атаки на информационную систему и меры защиты
Атака на информационную систему – это совокупность преднамеренных действий злоумышленника, направленных на нарушение одного из трех свойств информации – конфиденциальность, целостность, доступность. При этом любую такую совокупность действий можно подразделить на этапы атаки на информационную систему.
Исходя из действий злоумышленника, атаку на информационную систему можно разделить на 3 этапа [10]:
1.
Разведка
1.1.Сканирование сетей и портов
1.2.Обнаружение уязвимостей систем
1.3.Сбор отпечатков систем
1.4.Индексация web-страниц
2.
Атака
2.1.Атаки типа «Отказ в обслуживании»(DOS/DDOS)
2.2.Атаки типа «Полный перебор»(Bruteforce)
2.3.Повышение привилегий(Privilege escalation)
2.4.Мошеннические атаки
2.5.Спам
2.6.Использование уязвимостей
2.7.Социальная инженерия
3.
Закрепление в системе
3.1.Сканирование внутренней сети
3.2.Взлом соседних узлов
3.3.Установка средств повторного внедрения
Графически этапы атаки представлены на рисунке 2.1.

24
Рисунок 2.1 – Этапы проведения атаки на информационную систему
Важно понимать, что как атака ни информационную систему, так и защита от таких атак, это циклический процесс.
После закрепления в системе, злоумышленник вновь может провести разведку, саму атаку и закрепление в других узлах системы, пока не достигнет своей цели.
Такое подразделение атаки на этапы не является единственно верным. Существуют сервисы, вроде Mitre ATT | CK, которые предлагают свою цепочку действий злоумышленника, которая подразделяется на следующие этапы:
1. Начальный доступ
2. Закрепление в системе
3. Повышение привилегий
4. Избегание средств защиты
5. Получение доступа к учетным данным
6. Изучение системы
7. Дальнейшее продвижение
8. Сбор данных
9. Подготовка к выгрузке и выгрузка данных
10. Влияние на ресурсы системы

25
В отличие от этапов атаки злоумышленника, представленных на рисунке
2.1, этапы атаки злоумышленника, описанные Mitre, не являются циклически- ми, то есть это вектор, который направлен от «начального доступа» к оконча- тельному «влиянию на ресурсы системы». Каждое из «звеньев цепи» атаки на информационную систему согласно сервису Mitre ATT | CK будет более по- дробно рассмотрено в следующем подразделе.
В свою очередь, для обеспечения защиты можно разделить противодей- ствие атакам на информационную систему, на следующие этапы, представлен- ные также на рисунке 2.2 [10][АПК-1-01з]:
1.
Превентивные
1.1Управление активами
1.2.Управление уязвимостями
2.
Детективные
2.1.Сбор событий ИБ с активов
2.2.Нормализация событий
2.3.Агрегирование событий
2.4.Анализ и корреляция событий
2.5.Хранение событий
3.
Корректирующие
3.1.Расследование инцидентов ИБ
3.2.Изменение политики ИБ
3.3.Изменение настроек безопасности активов
Рисунок 2.2 – Этапы противодействия атакам на информационную систему

26
Этапы противодействия атакам также зациклены, это позволяет обеспе- чивать непрерывность процесса обеспечения безопасности информации на предприятии.
Следует рассмотреть каждый этап по обеспечению защитных мер отдель- но:
1)Превентивные мероприятия
1.
Управление активами – прежде чем что-то защищать, необходимо понять, что защищать, для этого необходимо провести инвентаризацию:
1.1.Информационных система и их критичность для предпри- ятия;
1.2.Сотрудников;
1.3.Определить взаимодействие между активами, как на уровне систем, так и на уровне система-сотрудник и сотрудник- сотрудник;
1.4.Определить перечень текущих средств защиты;
1.5.Определить перечень разработанных политик информаци- онной безопасности.
2.
Управление уязвимостями – после понимания того, что нужно защищать, проводится оценка текущего уровня уязвимостей активов, для этого собираются данные об уязвимостях информационных систем, путем:
2.1.Сканирования их различными сетевыми сканерами;
2.2.Проведения аудита;
2.3.Ознакомления компетентности сотрудников по вопросам информационной безопасности.
2)Детективные мероприятия – все мероприятия, описанные и продемон- стрированные на рисунке 2.2, по сути, сводятся к работе с файлами, в которых хранятся записи о тех или иных событиях, произошедших в информационных системах (log-файлами), а именно:

27 2.1.Определение закономерностей и шаблонов, реализующих то или иное событие ИБ;
2.2.Последовательности отдельных сообщений определенного типа, по которым также можно обнаружить событие ИБ.
3)Коррективные мероприятия – все мероприятия, проводящиеся в резуль- тате появления инцидента ИБ или нарушения политики информационной без- опасности:
3.1.Заведение инцидента ИБ;
3.2.Расследование в рамках инцидента ИБ.
Исходя из более подробного описания этапов противодействия атакам на информационные системы, особенно исходя их описания детективного этапа, возникают следующие требования к SIEM системе:
1. Количество источников для анализа данных, которые SIEM система может поддерживать изначально;
2. Количество и качество правил корреляции, которые SIEM система использует для идентификации события или инцидента ИБ;
3. Возможность влиять на существующие правила корреляции или добавлять свои собственные;
4. Не быть требовательной к ресурсам системы, на которой она запущена.
Сформированные требования являются достаточно общими и подходят для стандартных методов взлома, но как уже упоминалось в введении, зачастую на предприятия совершаются именно целевые атаки, для детектирования по- добных атак необходимо формировать особые требования к системе монито- ринга и управления безопасностью событиями. Перед формированием подоб- ных требований к разрабатываемой SIEM-системы следует проанализировать вектора целевых атак, которые также называют вектора атак APT группировок.