Проведение анализа и оценка угроз безопасности в АС

Функционал системы MaxPatrolвключает [2]:Комплекс превентивных мероприятий, включающих:систему управления активами — в систему встроен набор сканеров сетевых узлов и модулей для решения задач инвентаризации и проведения аудита различных систем;модуль управления уязвимостями, включающий встроенную базу знаний PT Knowledge Base (далее PT KB), в которую вносится информация об уязвимостях с открытых баз данных (например, база данных CVE), сторонних вендоров ИБ (Kaspersky, Group-IB) и из собственной базы данных уязвимостей;Посредством сканера безопасностиMaxPatrol SIEM возможна организация полного цикла работы с данными о событиях информационной безопасности, что предполагает следующие этапы: - Сбор данных о событиях в информационной системе от различных внешних источников. В стандартном комплекте поставки MaxPatrol SIEM поддерживаются следующие форматы и протоколы: Syslog, посредством которого осуществляется пассивный сбор событий по протоколу Syslog; Windows Event Log, в который входит информация о событиях Windows Event log; Windows File log, в который входят данные о событиях из файлов Microsoft Windows; Windows WMI log, в котором содержатся данные о событиях Windows Event log через WMI; системы NetFlow, в которой осуществляется пассивный сбор данных о событиях по протоколу NetFlow; ODBC Log, содержащий информацию о событиях, связанных с доступом к СУБД; SSH File Log — данные о событиях из файлов по протоколу SSH; CheckPoint LEA — сбор данных от устройств Check Point по протоколу OPSEC; SNMP Traps — пассивный сбор данных по протоколу SNMP. При сборе информации из файлов поддерживается разбор простых текстовых файлов, форматов JSON, TABULAR и Windows EventLog. Несмотря на относительно небольшой, по сравнению с конкурентами, набор готовых коннекторов к целевым системам «из коробки», специалисты Positive Technologies при проведении пилотных проектов и внедрений готовы реализовать поддержку любых источников данных, используемых заказчиком, в рамках технической поддержки. Нормализация событий для приведения их к общему стандарту и подготовке к дальнейшей обработке. Каждое событие безопасности проходит через специальную формулу нормализации и преобразовывается в структурированный объект. У объектов событий есть обязательные параметры — дата/время, идентификатор, актив (объект), к которому относится событие, тип действия и статус. Заполнение дополнительных параметров проводится в зависимости от характера события, связанного с системой информационной безопасности. Имеется возможность редактирования формул нормализации. Сервис фильтрации событий предполагает возможности удаления лишних событий, не имеющих отношения к информационной безопасности. Сервис агрегации предполагает возможности удаления и объединения повторяющихся событий для сокращения объемов хранения данных. Сервис корреляции предполагает проведение анализа взаимосвязей между различными событиями по определенным правилам с автоматическим созданием данных об инцидентах при срабатывании правил. Хранение — ведение архива событий и срезов состояний наблюдаемых систем для проведения глубокого анализа и расследования возможных инцидентов безопасности.Таким образом, с помощью системы Max Patrolвозможно проведениесканирования всей корпоративной IT-инфраструктуры, включающей сетевое оборудование, сервера на платформах Linux и Windows, и рабочие станции с установленнымипрограммными продуктами.С помощью системы Max Patrol 8 возможно проведение инвентаризации, технического аудита и контроля соответствия и изменений в информационных системах. Всистеме Max Patrol 8 реализована система отчётности, в которой отображается информация о найденных уязвимостях информационной системы. В системе Max Patrol 8 не используются агентыдля сканирования, что позволяет упростить задачу развертывания ПО. Серверная часть приложения включает:- систему управления;- базу знаний, содержащуюданные о проведенных проверках, обнаруженных уязвимостях и стандартах;- базу данных, в которой содержатся данные об истории сканирования;- программные модули сканирования системы.На рисунке 7 приведен режим запуска сканирования. Рисунок – Режим запуска сканированияВ сканере предусматривается наличие нескольких предустановленных профилей. Запуск задачи сканирования сети возможен по расписанию, возможно его применение на отдельных группах серверов или рабочих станций. Это позволяет работать с гранулированными политиками, в задачах которых будут только те сервисы, которые применимы к определенному сетевому узлу. Это позволяет грамотно выделять ресурсы для сканирования.На рисунке 8 приведен режим запуска сканирования. Рисунок – Режим запуска сканированияНа рисунке 9 приведен результат сканирования сети.Рисунок – Режим сканирования сетиУстранение обнаруженных уязвимостей возможно при использовании дополнительных программных средств, позволяющих провести анализ состояния системы (например, антивирусного ПО).3.3. Использование DLP-системыЗащиту от действий пользователей от инцидентов информационной безопасности предлагается осуществлять с использованием DLP-системы.Предлагается ко внедрению DLP-система «КИБ СёрчИнформ» предлагает больше возможностей, чем классическая DLP. Благодаря аналитическим инструментам, а также ориентации не только на данные, но и на пользователя, система [5]:Защита от последствий, обусловленных утечками информации.Разоблачает мошеннические схемы (откаты, саботаж и другое).Помогает рассчитывать кадровые риски и прогнозировать поведение работников.Стимулирование соблюдения трудовой дисциплины и рабочего регламента.Помощь в повышении продуктивности деятельности персонала.Управление лояльностью коллектива.Архитектура системы показана на рисунке 10.Рисунок 10 - Архитектура системы "КИБ Серчинформ"Система может использоваться для проведения оперативных оповещений и реагирований при возникновении внутренних и внешних угроз безопасности автоматизированных систем, а также контроля выполнения требований по безопасности информации. Особенности системы [4]: Сертификация ФСТЭК;Возможность централизованного сбора и анализа данных журналов событий систем информационной безопасности, рабочих станций, серверного и сетевого оборудования; Проведение удаленного контроля параметров конфигурации и функционала отслеживаемых объектов; Возможность оперативного оповещения и реагирования на возникновение внутренних и внешних угроз безопасности автоматизированной системы; Возможность контроля исполнения заданных требований по защите информации, сбора статистической информации и построения отчетов о состоянии защищенности; Масштабирование решения и создание системы для проведения мониторинга информационной безопасности в произвольном масштабе; Возможность взаимодействия с источниками данных о состоянии системы; Возможность интеграции со следующими отечественными защищенными платформами и системами защиты информации: ОС МСВС, ОС Astra Linux, Сканер-ВС, МЭ и СОВ Рубикон, Xspider.Дополнительные возможности системы: - проведение сбора данных из удалённых источников с использованием модуля SplunkForwarder;- проведение корреляции сложных событий, охватывающих множество разнородных источников данных в среде.- проведение масштабирования при сборе и индексации данных в объеме сотни терабайт ежедневно;- Комбинирование информации традиционных реляционных БД и Hadoop и проведение их последующего анализа;- реализация ролевых моделей доступа к данным;- создание собственных приложений, панелей (dashboard'ы), из которых формируются собственные Splunk-приложения;- наличие большого количества готовых инструментов для проведения анализа. Наличие уникальной инфраструктуры сбора, хранения и анализа сетевого трафика и журналов событий, позволяющей со значительно более высокими скоростями проводить обработку данных для организаций любых масштабов; Возможность линейной масштабируемости как по параметрам объемов собираемой информации;Высокая производительность системы корреляции событий, что позволяет проводить анализ огромных потоков событий;Возможность реконструкции сетевых транзакций и анализа их содержимого; Анализ и реконструкция сетевых транзакций для произвольных TCP/IP протоколов; Представление сетевых сессий в унифицированном формате и данных журналов событий.Таким образом "КИБ Серчинформ" в настоящее время обладает необходимыми компонентами системы информационной безопасности предприятий.Система КИБ "Серчинформ" позволяет получать данные о состоянии защищенности информационной системы, посредством которых можно проводить оценку уровня принимаемых мер в области информационной безопасности. Выводы по главеВ данной главе выпускной квалификационной работы был рассмотрен объект исследования – компания «РТС-Тендер», были определены объекты защиты и приведены их примеры, рассмотрена система антивирусной защиты, принятая на предприятии и проведен аудит информационной безопасности с использованием сканера безопасностиNessus.В рамках проведенного анализа уязвимостей с использованием ПО Nessus информационной системы Компании «РТС-Тендер» было показано, что для системы характерно множество актуальных угроз, связанных с:обнаружением неопознанного потока запросов к базе данных MSSQLServer;обнаружением внешних сетевых атак на серверные ресурсы;возможностью авторизации в СУБД в автоматическом режиме без ввода пароля;активностью неопознанного приложения на сервере.Устранение указанных недостатков возможно при проведении мероприятий по оптимизации системы безопасности на уровне баз данных и операционной системы.ЗаключениеДля достижения поставленной цели выпускной квалификационной работы были выполнены определенные задачи, которые раскрываются в трех главах работы.Рассмотрены теоретические основы менеджмента информационной безопасности. Рассмотрены основные задачи системы защиты информации в условиях Компании «РТС-Тендер». в качестве источника информации о защищённости информационной системы выбраны сканеры безопасности. Были определены цели, этапы проведения и виды активного аудита информационной безопасности; основные уязвимости информационной безопасности и рассмотрены сканеры уязвимостей MaxPatrol 8 и OpenVAS. Рассмотрены возможности использования экспертных систем в построении методики аудита состояния защиты информации. В качестве базы знаний экспертной системы могут выступать данные об инцидентах информационной безопасности, протоколы работы сканеров уязвимостей и др. Произведен анализ деятельности Компании «РТС-Тендер», в ходе которого были определены объекты защиты Компании «РТС-Тендер», к которым относятся базы данных, содержащие конфиденциальные сведения, коммерчески значимая информация, персональные данные и криптографические системы. Обеспечение защиты указанных ресурсов требует применения специальных инструментов мониторинга обеспечения информационной безопасности.Описана система защиты информации. Рассмотрена система антивирусной защиты, принятая на предприятии, состоящая из Kaspersky End Point Security 10 и Kaspersky Security Center. Рассмотрены цели и принципы АВЗ и описана организационная структура АВЗ.Проведен в Компании «РТС-Тендер» аудит информационной безопасности с использованием сканера безопасности Nessus.В ходе проведенного сканирования информационной системы Компании «РТС-Тендер» были обнаружены инциденты информационной безопасности, причинами которых могут являться уязвимости, связанные с ошибками в конфигурировании межсетевых экранов, настройки системы антивирусной защиты, прав доступа к файловым ресурсам, а также управления парольной защитой.В практической части работы проведен выбор программных решений для автоматизации мониторинга защищенности информационных ресурсов компании.Список использованных источниковКомпания «РТС-тендер». [Электронный ресурс]. Режим доступа: https://www.rts-tender.ru/Сканер уязвимостей Nessus. Описание. [Электронный ресурс]. Режим доступа: https://networkguru.ru/tenable-nessus-vulnerability-scanner/Сканирование уязвимостей в ИТ-инфраструктуре. Обзор программных продуктов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/reviews/tenable-analysis-security-corporate-infrastructure.Сравнение программных продуктов – сканеров уязвимостей. [Электронный ресурс]. Режим доступа: https://www.tiger-optics.ru/resources/tenable-sc-maxpatrol/?yclid=1913900678926858974Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Бабиева Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Бабиева. - Казань: Медицина, 2018. – 127Астахов А.М. Искусство управления информационными рисками. – М.: ДМК Пресс, 2015. – 314 с. Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2015 - 96с.Шалак М. Е. Архивное дело и делопроизводство: учебное пособие / М. Е. Шалак; РОСЖЕЛДОР. - Ростов-на-Дону : ФГБОУ ВО РГУПС, 2017. - 78 с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2015. – 338с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.Лопатин Д. В. Программно-аппаратная защита информации: учебное пособие / Лопатин Д. В. - Тамбов: ТГУ, 2014. – 254с.Никифоров С. Н. Защита информации : учебное пособие / С.Н. Никифоров. - Санкт-Петербург :СПбГАСУ, 2017. – 76с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.Ожиганов А.А. Криптография: учебное пособие / А.А. Ожиганов. - Санкт-Петербург : Университет ИТМО, 2016. - 142 cНикифоров С. Н. Защита информации. Шифрование: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 129Радько, Н.М. Основы криптографической защиты информации [Электронный ресурс]: учебное пособие / Н. М. Радько, А. Н. Мокроусов; Воронеж. гос. техн. ун-т. - Воронеж : ВГТУ, 2014.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сБондарев В. В. Анализ защищенности и мониторинг компьютерных сетей : методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Шаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 c.Российские системы мониторинга ИТ-безопасности. [Электронный ресурс]. Режим доступа: http://samag.ru/archive/article/3753.Nessus[Электронный ресурс]. Режим доступа:https://www.tenable.com/downloads/nessus?loginAttempted=true.