Разработка системы мониторинга безопасности предприятия ООО «Неоматика» на основе модели векторов кибератак. Пояснительная записка на 92 страницах. Графическая часть на 4 листах. Допускается к защите Протокол заседания кафедры ат от 2020 г

61 5. Имитационное моделирование
После стадии разработки необходимо проверить работоспособность спроектированной SIEM-системы, а именно возможности обнаружения целевой атаки, способности указать тип атаки и оценить возможные дальнейшие дей- ствия злоумышленника.
Для имитационного моделирования, была выбрана имитация атаки
APT41.
APT41 – это спонсируемая Китаем группировка, занимающаяся шпиона- жем и атаками на отрасли в сфере здравоохранения, телекоммуникаций, техно- логий и видеоигр в 14 странах [27].
5.1. Признаки APT41 и их описание
Признаки атаки APT41 представлены во всех группах симптомов, начи- ная от группы «начального доступа»(initial access) и заканчивая группой «кон- троль»(command and control). Для моделирования атаки APT41 следует кратко разобраться с ее симптомами:
1. External Remote Services – данный симптом иллюстрирует подключение злоумышленника через удаленный внешний сервис с возможностью закрепления внутри системы. Такими сервисами могут быть ssh или vpn;
2. Spearphishing Attachment – это вариация фишинговой атаки, которая заключается в отправке вредоносного программного обеспечения, прикрепленного к почте. Это могут быть зараженные MS office документы, исполняемые PDF файлы или архивированные файлы;
3. Valid Accounts – данный симптом представляет собой авторизацию нарушителя безопасности при помощи учетных данных легитимных пользователей;
4. Command-Line Interface – это использование злоумышленником интерфейса командной строки для взаимодействия с операционной системой;

62 5. Scheduled Task – данный симптом иллюстрирует использование средств операционной системы для запуска задач по определенному расписанию. Таким средством может быть демон cron в операционной системе unix;
6. Exploitation for Client Execution – это использование уязвимостей в программном обеспечении нарушителем безопасности;
7. Accessibility
Features
– это использование встроенных в операционную систему Windows программных функций отвечающих за авторизацию в системе. Злоумышленник может модифицировать эти программы для того, чтобы войти в систему без ввода учетных записей легитимных пользователей;
8. Create Account – данный симптом представляет собой создание злоумышленником аккаунта на целевой системе, для того, чтобы обеспечить себе беспрепятственный вход в систему без необходимости снова производить взлом;
9. Clear Command History – данный признак определяется очисткой истории команд в терминале или командной строке. В ОС семейства Unix история команд в терминале находится в файле .bash_history, соответственно его очистка или удаление, может сигнализировать о наличии данного признака;
10.Brute Force – это перебор всевозможных комбинаций учетных данных при попытке подключится к легитимной учетной записи;
11.File Deletion – данный симптом представляет собой удаление файлов злоумышленником для того, чтобы скрыть следы своих действий внутри системы;
12.Remote Desktop Protocol – данный признак характеризуется удаленным подключением злоумышленника по RDP;
13.System Network Configuration Discovery – данный симптом представляет собой попытки злоумышленника узнать информацию о сети, к которой он подключился изнутри. Это могут быть попытки узнать

63 топологию сети, выяснить, какие сетевые интерфейсы открыты в системе, к которой он подключился и т.д.;
14.Network Service Scanning – это попытка злоумышленника узнать список запущенных сервисов на хосте, и найти среди них уязвимые к удаленному эксплойту. О наличии этого симптома может свидетельствовать использование нарушителем информационной безопасности сканеров портов;
15.Network Share Discovery – данный признак представляет собой обращения злоумышленника к файлам и папкам, которые являются разделяемыми в сети;
16.System Owner/User Discovery – этот признак характеризуется использованием нарушителем информационной безопасности стандартных средств операционной системы, для определения списка пользователей, которые в данный момент авторизованы в системе;
17. System Network Connections Discovery – это исследование и получение списка входящих/исходящих подключений внутри системы, в которой авторизован нарушитель ИБ;
18.Data
Compressed
– это использование злоумышленником алгоритмов компрессии для того, чтобы сжать необходимые ему файлы и данные, для дальнейшей передачи через скомпрометированную сеть на свой ресурс. Сжатие необходимо, чтобы снизить нагрузку на сеть при передаче, такой подход позволяет снизить риск быть обнаруженным;
19.Connection Proxy
– данный симптом представляет собой использование злоумышленником различных прокси-серверов, чтобы снизить риск обнаружения себя при помощи постоянной смены своего ip- адреса при каждом подключении.
5.2. Формирование log-файлов и моделирование атаки
Для проверки обнаружения атаки APT41 и прогнозирования дальнейших действий, связанных с этой атакой необходимо подготовить соответствующие

64 log-файлы, в которых помимо симптомов атаки также будут содержаться запи- си о действиях легитимных пользователей.
Для моделирования атаки будут использованы следующие симптомы, яв- ляющиеся частью атаки APT41:
1. External Remote Services
2. Valid Accounts
3. Command-line Interface
4. Create Accounts
5. Clear Command History
6. Brute Force
7. File Deletion
8. System Network Configuration Discovery
9. Network Service Scanning
10.System Owner/User Discovery
11.System Network Connections Discovery
12.Data compressed
Признаки симптома External Remote Services, Valid Accounts находятся в log-файле auth.log. Информацию о симптомах Command-line Interface, Create
Accounts, File Deletion, Data Compressed, System Network Connections Discovery,
System Owner/User Discovery, System Network Configuration Discovery можно найти в файлах .bash_history пользователей и файле .bash_history администра- тора. При отсутствии таковых файлов или установке того факта, что они были очищены, можно утверждать о наличии такого признака APT атаки, как Clear
Command History. Информацию о признаке Brute Force можно найти, как в файле auth.log так и в файле secure.log.
Содержимое log-файлов представлено в Приложении В.
Само моделирование атаки происходило в операционной системе Debian
GNU/Linux 9 (stretch), с версией ядра 4.9.0-12.

65
Цепочка действий, осуществляемая автором для моделирования атаки, представлена в Приложении Г
[АПК-2-01в].
После моделирования атаки и действий легитимных пользователей опе- рационной системы, запустим разработанную SIEM-систему для анализа log- файлов и поиска в них признаков смоделированной атаки. Рисунки 5.1 - 5.4 ил- люстрируют результаты анализа log-файлов SIEM-системой.
Рисунок 5.1 – Уведомление об обнаруженной атаке APT41 и прогнозирование дальнейших действий злоумышленника

66
Рисунок 5.2 - Уведомление об обнаруженной атаке APT32 и прогнозирование дальнейших действий злоумышленника
Как можно заметить, результаты работы модуля прогнозирования иллю- стрируют признаки APT41 и APT32, которые могут появиться при дальнейшем развитии текущей атаки. Ниже представлены скриншоты результатов построе- ния вектора уже обнаруженных признаков развития атаки.

67
Рисунок 5.3 – Первая часть графа обнаруженных признаков атаки

68
Рисунок 5.4 – Вторая часть графа обнаруженных признаков атаки
Как можно заметить по рисункам выше, SIEM-система обнаружила все смоделированные автором симптомы, и построила на их основе вектор атаки.
Следует обратить внимание, что разработанная система мониторинга и управления событиями ИБ обнаруживает атаку при нахождении взаимосвязи между определенным количеством событий ИБ. Это количество зависит от приоритета для каждого из событий, например, если двух признаков выставлен высокий приоритет, то при нахождении взаимосвязи даже между ними, будет сформировано уведомление о целевой атаке. И наоборот, если у событий вы- ставлен низший приоритет, то, потребуется найти взаимосвязь между множе- ством событий, чтобы сформировать уведомление о возможном инциденте ин- формационной безопасности.

69
Далее для сравнения запустим IDS и проверим возможности простой си- стемы обнаружения вторжений определить целевую атаку в потоке трафика, проходящем через входной узел в сеть. В настоящем моделировании была ис- пользована сетевая IDS/IPS Suricata [28].
Понятно, что NIDS, исходя из названия и принципа функционирования, работает на уровне сети, следовательно, события информационной безопасно- сти, появляющиеся на уровне системы, остаются незамеченными для такого рода программ [29]. Поэтому для моделирования событий информационной безопасности будут проведены атаки следующих типов:
1. External Remote Services
2. Brute Force
3. Network Service Scanning
Моделирование этих типов атак было осуществлено при помощи про- грамм с открытым исходным кодом, таких как:
1. Nmap v.7.70 2. Ssh
3. Hydra v.8.5
Результаты работы IDS Suricata проиллюстрированы на рисунках 5.5 - 5.7.
Рисунок 5.5 – Детектирование сканирования портов

70
Рисунок 5.6 – Детектирование атаки типа «полный перебор»
Рисунок 5.7 – Детектирование авторизации по ssh
На скриншотах выше можно заметить, что IDS успешно обнаружила со- бытия ИБ, появившиеся в сетевом трафике, но в отличие от SIEM, IDS не смогла связать их между собой. Для Suricata все эти события равнозначны и вся работа по поиску взаимосвязей между ними ляжет на плечи администратора информационной безопасности.
5.3 Оценка эффективности
Перед подведением итогов всего проекта, следует оценить эффективность разработанной SIEM-системы, это позволит сделать более полные и построен- ные на фактах выводы.
Как уже был сказано выше, разработанная SIEM-система обнаружила все из смоделированных симптомов, успешно сформировал уведомление о наличие атаки APT41. Также было сформированы уведомление о дальнейшем развитии этой и других атак.
Программа отработала за 3.852 секунды.
Графически, время работы каждого из модулей представлено на рисунке
5.8

71
Рисунок 5.8 – Диаграмма времени выполнения модулей SIEM-системы
На диаграмме можно увидеть, что время работы модуля корреляции по- чти вдвое больше, чем время работы модуля агрегации и почти втрое больше работы модуля прогнозирования. Стоит заметить, что при увеличении размера графа обнаруженных событий информационной безопасности, разрыв по вре- мени работы между модулем корреляции и модулями агрегации и прогнозиро- вания будет увеличиваться, из-за алгоритма поиска взаимосвязей между собы- тиями информационной безопасности.
Для большей наглядности результатов времени работы SIEM-системы сравним ее с совместным использованием HIDS(Host-based Intrusion Detection
System) и NIDS(Network-based Intrusion Detection System) [30]. Сравнение будет осуществляться с точки зрения нагрузки на информационную систему [АПК-2-
01у].

72
Для начала необходимо уточнить топологию размещения всех выше пе- речисленных приложений в сегменте сети и на хостах.
Для SIEM-системы такой топологией будет являться размещение на всех хостах, подлежащих контроля демона rsyslog и размещение самой системы мо- ниторинга и управления событиями информационной безопасности на сервере обработки данных (в нашем случае дополнительный хост). Топология разме- щение SIEM-системы проиллюстрирована на рисунке 5.8.
Рисунок 5.8 – Топология размещения SIEM-системы в сегменте сети
Стрелками на рисунке 5.8 показано направление передачи log-файлов де- монами rsyslog.
Для IDS систем топология представляет собой размещение на хостах сег- мента сети HIDS агентов, которые сканируют конечный хост и отправляют данные на IDS-сервер. В точке входа в сеть расположена NIDS, необходимая

73 для обнаружения событий ИБ в сетевом трафике. Графически топология раз- мещения NIDS и HIDS представлена на рисунке 5.9 [АПК-1-01в].
Рисунок 5.9 – Топология размещения HIDS и NIDS в сегменте сети
Предположим, что формирование log-файлов и отправка их демоном rsys- log требует 500 тактов процессора. Понятно, что в реальности такая операция потребует значительно больше процессорных тактов, к тому же их количество будет отличаться в зависимости от архитектуры процессора, операционной си- стемы и версии программного обеспечения.
Тогда предположим, что проверка HIDS агентом одного хоста занимает
5000 тактов процессора, проверка NIDS точки входа за 3000 тактов, а работа
SEIM системы требует 40000 тактов процессора.
Для удобства предположим, что все эти действия совершаются за 4 се- кунды, такой вариант более удобен, чем предположение, что действия всех этих

74 программ и подпрограмм выполняются за 1 секунду, так как ранее было отме- чено, что один цикл работы SIEM системы занимает примерно 3.8 секунды.
Тогда на результаты сравнения SIEM-системы и HIDS+NIDS представле- ны на графике, на рисунке 5.10.
Рисунок 5.10 – График зависимости количества тактов от времени работы тестовых программ
На рисунке 5.10 видно, что тактов процессора для работы HIDS + NIDS несколько выше, чем для работы SIEM. С увеличением количества хостов в сегменте сети этот разрыв буте только увеличиваться, так как количество так- тов для работы самой SIEM остается почти на том же уровне, что и было при текущем количестве хостов, а количество тактов для работы rsyslog невелико. В тоже время с увеличением количества узлов в сегменте сети значительно по- высит общее число необходимых тактов для обработки все информации сред- ствами HIDS и NIDS.

75
Заключение
По итогам всего проекта, можно заключить, разработка и внедрение спе- циализированной системы мониторинга и управления событиями информаци- онной безопасности может способствовать повышение общего уровня защи- щенности на предприятии, за счет обнаружения отдельных событий информа- ционной безопасности и поиска взаимосвязей между ними.
Помимо этого, успешное решение задачи разработки SIEM-системы с учетом векторов кибератак позволяет помимо самого факта обнаружения взаи- мосвязей между событиями информационной безопасности, сопоставить эти события признакам целевых атак и спрогнозировать дальнейшее развитие таких атак. Такой подход существенно ускоряет ответные действия, направленные на локализацию ущерба от атаки и блокирование дальнейшего ее развития.
По результатам имитационного моделирования и оценки эффективности, можно сделать вывод об успешном выполнении SIEM-системой всех возло- женных на нее функций. Более того, применяя разработанную SIEM-систему, можно существенно сократить потребление программных и аппаратных ресур- сов на защиту информационной системы. Это позволит либо сократить расходы на потреблении ресурсов, либо внедрить дополнительный уровень защиты, по- высив общий уровень защищенности всей информационной системы.

76
Список литературы
1. Advanced Persistent Threat(APT). Таргетированные или целевые киберата- ки «Развитая устойчивая угроза». [Электронный ресурс]. – URL: http://www.tadviser.ru/a/272878 2. APT-атаки на кредитно-финансовую сферу в России: обзор тактик и тех- ник. [Электронный ресурс]. – URL: https://www.ptsecurity.com/ru- ru/research/analytics/apt-attacks-finance-2019/
3. SIEM: ответы на часто задаваемые вопросы [Электронный ресурс]. –
URL: https://habr.com/ru/post/172389/
4. Neomatica [Электронный ресурс]. – URL: https://www.neomatica.com/
5. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения
6. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных от 14.02.2008.
7. Методика определения угроз безопасности информации в информационных системах, проект 2015 г
8. Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных от
15.02.2008.
9. Системы мониторинга событий безопасности [Электронный ресурс]. –
URL:
https://www.anti-malware.ru/security/security-monitoring
10. Max
Patrol
SIEM.
Обзор системы управления событиями информационной безопасности [Электронный ресурс]. – URL: https://habr.com/ru/company/tssolution/blog/495280/
11. APT [Электронный ресурс]. – URL: https://ru.wikipedia.org/wiki/APT
12. Что такое APT-атака и как от нее защититься [Электронный ресурс]. –
URL: http://www.spy-soft.net/apt-attack/
13. ГОСТ Р ИСО/МЭК ТО 18044-2007 Информационная технология. Методы и средства обеспечения безопасности. Менеджмент инцидентов

77 информационной безопасности от 01.07.2008.
14. MITRE | ATT&CK [Электронный ресурс]. – URL: https://attack.mitre.org/
15. ATT&CK Mapping [Электронный ресурс]. – URL: https://mitre- attack.github.io/caret/#/
16. MaxPatrol
SIEM
[Электронный ресурс].
–
URL:
https://www.ptsecurity.com/ru-ru/products/mpsiem/
17. FortiSIEM
[Электронный ресурс].
–
URL: https://www.fortinet.com/ru/products/siem/fortisiem#resources
18. СерчИнформ
SIEM
[Электронный ресурс].
–
URL: https://searchinform.ru/products/siem/
19. КОМРАД
[Электронный ресурс].
–
URL: https://npo- echelon.ru/production/65/11174 20. Security
Capsule
[Электронный ресурс].
–
URL: https://www.itb.spb.ru/products/Security_Capsule_SIEM/
21. McAfee
ESM
[Электронный ресурс].
–
URL: https://www.mcafee.com/enterprise/ru-ru/products/enterprise-security- manager.html
22. Агрегация
[Электронный ресурс].
–
URL:
https://ru.wikipedia.org/wiki/Агрегация
23. Log файлы в Linux по порядку [Электронный ресурс]. – URL:
https://habr.com/ru/post/332502/
24. Корреляция SIEM – это просто. Сигнатурные методы [Электронный ресурс]. – URL: https://www.securitylab.ru/analytics/431459.php
25. Корреляция информации в SIEM-системах на основе графа связей типов событий / Федорченко А.В., Котенко И.В. // Информационно- управляющие системы – 2018.
26. Алгоритмы справочник / Джодрж Хайнеман, Гэри Поллис, Стэнли
Селков.: Orelly, 2017. – 427с
27. Double Dragon APT41, a dual espionage and cyber crime operation
[Электронный ресурс]. – URL: https://content.fireeye.com/apt-41/rpt-apt41

78 28. Suricata как
IPS
[Электронный ресурс].
–
URL: https://habr.com/ru/post/192884/
29. Общие понятия о системах обнаружения и предотвращения вторжений
[Электронный ресурс].
–
URL: https://habr.com/ru/company/otus/blog/479584/
30. HIDS(Host-based Intrusion Detection System) [Электронный ресурс]. –
URL: https://ru.bmstu.wiki/HIDS_(Host-Based_Intrusion_Detection_System)

79