Исследование возможностей создания систем обнаружения вторжений с использованием утилиты Afick

Активность приложения предполагает выполнение длействий:е: parsecmac – мониторинг целостности мандатных меток безопасности объектов файловой системы;t: parsecaud – мониторинг целостности данных системы аудита безопасности ОССН;gost: gost – мониторинг целостности файловых объектов с применением криптографических алгоритмов вида ГОСТ Р 34.11. В результате выполнения данных действий в секции aliasпроводится формирование типовых правил для каталогов (DIR), файлов настроек ОССН (ETC) и файлов протоколов работы системы (Logs). Пример настройки правил: DIR = p+i+n+u+gпредполагает проведение мониторинга прав доступа, метаданных, количества ссылок и других стандартных атрибутов. Дополнительно в группуaction включаются правила, специфичные для подсистемы безопасности PARSEC – PARSEConly, PARCEC и GOST. Например, при использовании правила PARSEC вида: PARSEC = p+d+i+n+u+g+s+b+md5+m+e+tпредполагается необходимость выполнения проверки стандартных атрибутов файловых сущностей с использованием криптографического алгоритма MD5, проверки расширенных атрибутов (меток безопасности и флагов аудита) и списков ACL этих файловых сущностей. Вправиле GOST вида: GOST = p+d+i+n+u+g+s+b+gost+m+e+tпараметр gost указывает на необходимость выполнения проверки стандартных атрибутов файловых сущностей с использованием криптографического алгоритма ГОСТ Р 34.11.На рисунках 8-9 приведены настройки полных путей и правил, применяемых к каталогам и файловым ресурсам, для которых осуществляется регламентный мониторинг целостности. Рисунок – Настройка правил проверкиРисунок 9 – Настройка правил проверкиФормат записей секции filesection следующий: fileaction – проверяются каталоги, подкаталоги и файловые сущности с параметром «действия»; !file – из проверки каталогов и подкаталогов исключается файловая сущность file;=directoryaction – с параметром «действия» проверяется только каталог, и из проверки исключаются подкаталоги. Например: /boot GOST – проверка в каталоге /boot всех подкаталогов и файловых сущностей с помощью правила GOST; =/ DIR – проверка с помощью правила DIR только корневого каталога, исключая подкаталоги; !/root/.bash_history – исключение проверки в каталоге /root файловой сущности .bash_history.На рис.10 приведена модификация настроек проверки при выборе определенных типов файлов. Рисунок 10 - Модификация настроек проверки при выборе определенных типов файлов2.3. Оценка снижения уровней риска пори внедрении утилиты AfickПроведение оценки общего уровня риска осуществлялось с использованием соотношения: R=C*U*V, где С – уровень ценности информационного актива, U – степень уязвимости, V – вероятность угрозы [11].Если при расчете получено значение выше 26, то степень уровень считается высокой. При нахождении рассчитанного значения риска в интервале от 13 до 25, риск рассматривается как средний, при меньших значениях – считается низким. Оценка степени риска в существующей системе без внедрения предложений, сформулированных в данной работе, приведена в таблице 1.Таблица 1 - Оценка степени риска в существующей системе защиты информации Объект защитыУгроза№ в базе ФСТЭКCUVRОценка рискаФайловые ресурсы компанийУгроза несанкционированного доступа к сетевым ресурсам08833424СредняяУгроза модификации файловых ресурсов 15633636ВысокаяУгроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации16033424СредняяУгроза запуска исполняемых файлов20833424СредняяДалее проведена оценка рисков, связанных с утечками конфиденциальных сведений после внедрения системыAfick(таблица 2).Таблица 2 - Оценка рисков, связанных с внешним вторжениями Объект защитыRУгроза№ в базе ФСТЭКПланируемые мерыC2U2V2R2Оценка рискаКоммерческая тайна в системе "Учет договоров"30Угроза несанкционированного доступа к сетевым ресурсам088Внедрение системы Secur IT3319Низкая36Угроза модификации файловых ресурсов 156Внедрение системы Secur IT33218Средняя24Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации160Внедрение системы Secur IT3319Низкая24Угроза запуска исполняемых файлов208Внедрение системы Secur IT33218СредняяПроведенные расчеты показывают, что при внедрении предложений по внедрению системы Afick вероятность реализации рисков инцидентов информационной безопасности снижается [12]. Выводы по разделуВ практической части работы проведено изучение режимов работы системы Afick. Показано, что область использования системы включает возможности мониторинга состояния ресурсов файловой системы, отслеживания несанкционированных изменений, при выявлении которых проводится оповещение администратора, протоколируется активность приложений. С помощью риск-ориентированного подхода было показано снижение уровня риска реализации угроз информационной безопасности, связанных с внешними вторжениями. ЗаключениеВ условиях корпоративных систем, имеющих сложную структуру, в которых осуществляется обработка больших массивов конфиденциальных сведений, актуальными являются задачи обеспечения защиты от угроз, связанных с внешним вторжениями. Функционал систем защиты от вторжений включает проведение мониторинга изменения атрибутов объектов файловой системы, на основании которых делается вывод о наличии признаков возникновения инцидентов. В практической части работы проведен анализ функционала системы Afick, осуществляющей мониторинг инцидентов информационной безопасности, связанных с внешними вторжениями. Показано, что область использования системы включает возможности мониторинга состояния ресурсов файловой системы, отслеживания несанкционированных изменений, при выявлении которых проводится оповещение администратора, протоколируется активность приложений. С помощью риск-ориентированного подхода было показано снижение уровня риска реализации угроз информационной безопасности, связанных с внешними вторжениями. СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВБаза данных угроз ФСТЭК. [Электронный ресурс]. Режим доступа: https://bdu.fstec.ru/threat (дата доступа: 27.11.2021)Клименко И. С. Информационная безопасность и защита информации: модели и методы управления: монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178с.Бондарев, В. В. Введение в информационную безопасность автоматизированных систем : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2018. - 250 с.Солодянников А. В. Комплексная система защиты объектов информатизации: учебное пособие / А. В. Солодянников. - Санкт-Петербург: Изд-во Санкт-Петербургского государственного экономического университета, 2017. - 91 с. Клименко, И. С. Информационная безопасность и защита информации: модели и методы управления : монография / И. С. Клименко. - Москва: ИНФРА-М, 2020. – 178 с.Чекулаева Е. Н., Кубашева Е. С. Управление информационной безопасностью : учебное пособие / Е. Н. Чекулаева, Е. С. Кубашева. - Йошкар-Ола: Поволжский государственный технологический университет, 2020. - 153 с.Алексеев А. П. Многоуровневая защита информации: монография / А. П. Алексеев. - Самара : ПГУТИ, 2017. - 128 с.Благодаров, А. В. Алгоритмы категорирования персональных данных для систем автоматизированного проектирования баз данных информационных систем / А. В. Благодаров, В.С. Зияутдинов, П.А. Корнев, В.Н. Малыш. - Москва: Горячая линия-Телеком, 2015. - 115 с.Бондарев, В. В. Анализ защищенности и мониторинг компьютерных сетей: методы и средства: учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Язов Ю. К., Соловьев С. В. Организация защиты информации в информационных системах от несанкционированного доступа : [монография] / Ю. К. Язов, С. В. Соловьев. - Воронеж: Кварта, 2018. - 588 с. Марков А. С. Техническая защита информации: курс лекций: учебное пособие / Марков А.С. - Москва : Изд-во АИСНТ, 2020. – 233с.