Робота присвячена актуальним питанням кібербезпеки і протидії кіберзагрозам. Безпека інтернет-сервісів є однією з важливих частин проблеми безпеки кіберпростору. У роботі розглянуто метод виявлення загроз на основі спільного тимчасового аналізу журналів мережевих служб і інтернет-сервісів. Результатом аналізу є виявлення потенційно уразливих місць, які необхідно захищати спеціальним чином. Випробувані алгоритми аналізу для виявлення окремих видів загроз і реалізують їх програмні компоненти. Алгоритми і програмні засоби застосовані до реальних даних корпоративної мережі Красноярського наукового центру СВ РАН.

Анотація наукової статті з комп'ютерних та інформаційних наук, автор наукової роботи - Ісаєв Сергій Владиславович


Work is devoted to the topical issues of cyber security and combating cyber threats. The security of online services is one of the important parts of the security problems of cyberspace. Is offered the method for detecting threats based on the joint temporal analysis of logs of network services and Internet services. The result of the analysis is to identify potential vulnerabilities that must be protected in a special way. Tested analysis algorithms to detect certain types of threats and implement their software components. Algorithms and software applied to real data of the corporate network of the Krasnoyarsk scientific center SB RAS.


Область наук:

  • Комп'ютер та інформатика

  • Рік видавництва: 2016


    Журнал

    Інформаційні та математичні технології в науці та управлінні


    Наукова стаття на тему 'АНАЛІЗ кіберзагроз ТА ЇХ ДЖЕРЕЛ ДЛЯ КОРПОРАТИВНОЇ МЕРЕЖІ Красноярський НАУКОВОГО ЦЕНТРУ СО РАН'

    Текст наукової роботи на тему «АНАЛІЗ кіберзагроз ТА ЇХ ДЖЕРЕЛ ДЛЯ КОРПОРАТИВНОЇ МЕРЕЖІ Красноярський НАУКОВОГО ЦЕНТРУ СО РАН»

    ?УДК 004.738

    АНАЛІЗ кіберзагроз ТА ЇХ ДЖЕРЕЛ ДЛЯ КОРПОРАТИВНОЇ МЕРЕЖІ Красноярський НАУКОВОГО ЦЕНТРУ СО РАН Ісаєв Сергій Владиславович

    к.т.н., доцент, заст. директора з наукової роботи, Інститут обчислювального моделювання СО РАН, 660036 м Красноярськ, вул. Академмістечко 50, стор.44, e-mail: Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб побачити її.

    Анотація. Робота присвячена актуальним питанням кібербезпеки і протидії кіберзагрозам. Безпека інтернет-сервісів є однією з важливих частин проблеми безпеки кіберпростору. У роботі розглянуто метод виявлення загроз на основі спільного тимчасового аналізу журналів мережевих служб і інтернет-сервісів. Результатом аналізу є виявлення потенційно уразливих місць, які необхідно захищати спеціальним чином. Випробувані алгоритми аналізу для виявлення окремих видів загроз і реалізують їх програмні компоненти. Алгоритми і програмні засоби застосовані до реальних даних корпоративної мережі Красноярського наукового центру СВ РАН.

    Ключові слова: захист інформації, кібербезпека, комп'ютерні мережі

    Вступ. В останні 5-10 років розвиток інформаційно-телекомунікаційних технологій привело до того, що більшість сфер людської діяльності безпосередньо отримали відображення в інформаційній сфері. Виник новий феномен, названий киберпространством, в якому питання безпеки стають першорядними. Все більше уваги привертають питання кібербезпеки, кіберзагроз та кібервійни [1, 10]. Разом з тим, в сфері IT поки не склалося однозначного сприйняття цих понять. В першу чергу це пов'язано з досить одностороннім поданням цієї тематики в засобах масової інформації, де висвітлюються тільки скандальні події, у вигляді викриттів міжнародних мереж хакерів або інформаційних атак на відомих особистостей і т.п. Аналіз динаміки законодавчої бази щодо захисту інформації в Росії [4, 7] ілюструє зростаючу заклопотаність питаннями безпеки з боку суспільства і відставання в порівнянні з багатьма зарубіжними країнами, в яких кібербезпеки присвячені великі роботи [9, 11]. В 2012 Міжнародна організація по стандартизації розробила стандарт в області кібербезпеки: ISO 27032 діє до: 2012 «Інформаційні технології. Методи забезпечення безпеки. Настанови щодо забезпечення кібербезпеки »[8], аналог якого в Росії поки не прийнятий. Даний стандарт дає однозначне розуміння зв'язку кібербезпеки (cybersecurity) з мережевою безпекою, прикладної безпекою, інтернет-безпекою та безпекою критичних інформаційних інфраструктур. Метою даної роботи є аналіз кібербезпеки наукової мережі установ Красноярського наукового центру з позицій міжнародного стандарту.

    1. Основні терміни та визначення. Центральне місце в стандарті займає кіберпростір, яке визначається як складне середовище, що виникає в результаті взаємодії між людьми, програмним забезпеченням та інтернет-сервісами, підтримувана за допомогою розповсюдження інформаційно-телекомунікаційних пристроїв і мереж по всьому світу. У кіберпросторі частина проблем безпеки не покривається існуючими традиційними напрямками: інформаційна безпека, інтернет-безпеку, мережева безпека. Залишаються прогалини, зумовлені великою кількістю організацій і провайдерів послуг в кіберпросторі і недостатньою взаємозв'язком між ними.

    Кібербезпека (безпеку кіберпростору) визначається як збереження конфіденційності, цілісності та доступності інформації в кіберпросторі. Взаємозв'язок кібербезпеки з сусідніми областями ілюструється на малюнку 1.

    інформаційна

    кібер злочинність

    Cybersafety (Безпечна поведінка)

    Захист критичних інформаційних інфраструктур

    Мал. 1. Взаємозв'язок кібербезпеки з іншими технологіями (КО 27032: 2012)

    Виходячи з даного визначення, кібербезпека являє собою набір засобів, технологій, стратегій, принципів забезпечення безпеки, гарантій безпеки, підходів до управління ризиками, які використовуються для захисту кіберсреди, ресурсів організацій і користувачів. Головну увагу приділено захисту інформації корпоративних і інших користувачів при відвідуванні інтернет-сайтів, оплаті рахунків і використанні інтернет-банкінгу. Основними учасниками кіберпростору є користувачі (приватні та корпоративні) і оператори (мереж зв'язку і різних телекомунікаційних додатків). Під загрозу ставляться активи, які можна розділити на персональні і корпоративні, віртуальні та фізичні. Засоби реагування на кіберзагрози поділяють на превентивні, реактивні і виявляють. На рис.2 наводиться модель відносин об'єктів кіберпростору, що дозволяє зрозуміти всі аспекти їх взаємодії. Окремо варто пояснити поняття «агент загрози» використовується в стандарті - це людина або група людей, що виконують або

    підтримують атаку на активи. Під вразливістю активу розуміють слабку захищеність активу або управління, яка може використовуватися загрозою.

    / ----------- оцінюють

    можуть знати про

    могутбить зменшені зарахунок

    може володіти

    --л

    уразливості

    J

    хочуть зловжити і можуть становити небезпеку J

    -ТТТІТПМІП I IIIII I ..... ||| | 7 ...... 1 I II1HI I | | |||! М1ЧІ11 I ..... ними | ІІ ............- I

    Мал. 2. Модель відносин об'єктів безпеки кіберпростору (ISO 27032: 2012)

    Основні пропоновані в стандарті методи оцінки та усунення ризиків:

    1. Ідентифікація критичних активів: використання термінології кіберпростору розширює область активів. Оскільки економічно нерентабельно захистити всі активи, важливо ідентифікувати критичні активи та передбачити спеціальні заходи для їх захисту. Виділення відбувається з контексту бізнесу, за допомогою розгляду впливу втрати або погіршення активу на бізнес в цілому.

    2. Ідентифікація ризиків: учасники повинні розглянути додаткові ризики, загрози та атаки, що з'являються при включенні в кіберпростір.

    3. Відповідальність: учасник кіберпростору повинен нести додаткову відповідальність перед іншими учасниками.

    4. Відключення систем і сервісів: якщо система або сервіс перестають використовуватися, то вони повинні бути видалені, що гарантує припинення впливу і зменшення загроз на пов'язані сервіси та інтерфейси

    5. Взаємодія: підхід до управління ризиками застосовується до всього кіберпростору. На учасників кіберпростору покладаються обов'язки планування на випадок непередбачених ситуацій, аварійного відновлення, розвитку та впровадження захисних програм для систем під їх контролем або в їх власності.

    2. Кібербезпека корпоративної мережі наукових установ. Розглянемо основні активи кіберпростору в контексті наукової установи:

    1. Інформаціяо наукових дослідженнях і програмне забезпечення - віртуальні активи. Все, що зберігається на носіях, передається по мережах і належить рассматріваемойорганізаціі.

    2. Фізичні пристрої, такі, як комп'ютери, принтери, мережеві пристрої і інші пристрої, пов'язані з киберпространством - матеріальні активи, які можуть бути атаковані з кіберпростору.

    3. Телекомунікаційні послуги, такі, як корпоративна електронна пошта, веб-сайти організації, інформаційно-довідкові та бібліотечні системи, корпоративний зв'язок, є віртуальними, але дуже важливими для ефективного функціонування наукової установи.

    4. Люди, їх кваліфікація, вміння і досвід - ці активи знаходять своє відображення в кіберпросторі. За рахунок зміни інформації про людей в кіберпросторі можна завдати серйозної шкоди, як конкретній людині, так і організації.

    5. Репутація, імідж організації та її працівників являютсянематеріальнимі активами і можуть бути зіпсовані за рахунок формування помилкового образу в кіберпросторі, наприклад, розміщення на інформаційних ресурсах помилкових повідомлень, помилкових відгуків і т.д.

    6. Кошти на банківських рахунках - нематеріальні активи, які можуть бути уразливі з кіберпростору.

    Наведений список активів можна розширювати, в тому числі з урахуванням специфіки джерел загроз для мережі науково-освітнього закладу та їх динаміки [3]. Але навіть безпеку перерахованих активів вже не завжди може бути забезпечена традиційними засобами захисту інформації. Наприклад, імідж організації, що формується, в тому числі, і в кіберпросторі, можна відстежувати і захищати за допомогою моніторингу динаміки пошукових запитів про організацію. При виявленні різких змін слід проаналізувати причини і вжити адекватних заходів. Також безпеку частини активів, таких, як телекомунікаційні сервіси, неможливо забезпечити тільки на рівні організації, так як вони тісно пов'язані з киберпространством. Для захисту в цьому випадку потрібні спільна робота з операторами зв'язку і постійний моніторинг доступності сервісу з ключових точок кіберпростору.

    В Інституті обчислювального моделювання СО РАН з 2007 року діє система протидії спробам несанкціонованого доступу [2], що дозволяє відстежувати динаміку загроз (рис. 3). За типом функціонування її можна віднести до реактивних систем, таккак вона блокує вхідні з'єднання у відповідь на підозрілі дії.

    50

    40

    30

    20

    10

    0

    США

    '\' \

    Бразилія Росія

    -1 \-

    / \ / \ / \

    Індія Китай

    1 S

    / \ / N

    / V

    2007 2008 2011 2012 2013 2014 2015

    Мал. 3. Частка спроб несанкціонованого доступу по країнам за 2007-2015 роки

    Для виявлення потенційних агентів загроз, ризикових активів організації та аналізу спроб несанкціонованого доступу був запропонований метод аналізу журналів інтернет-сервісів і мережевих служб [6]. Метод відноситься до класу виявляють і заснований на спільному часовому аналізі журналів, що збираються на граничних і серверних вузлах мережі.

    Реалізовано і перевірені алгоритми аналізу для виявлення окремих видів загроз і реалізують їх програмні компоненти. Алгоритми і програмні засоби застосовані до реальних даних корпоративної мережі. На рис. 4 ілюструється динаміка різних видів загроз корпоративної мережі.

    Мал. 4. Аналіз спроб різних видів загроз 2012-2015 роки

    Результати аналізу дозволили поліпшити защітуінтернет-сервісів, налаштувавши відповідні його компоненти або модулі (міжмережевий екран, систему запобігання вторгнень), тим самим повисітьстепень інформаційної безпеки системи.

    Мал. 5. Динаміка спроб доступу до елементів дослідної майданчики

    3. Аналіз ризиків для нових елементів кіберпростору. Функціонування побудованої системи виявило наявність проблеми впевненою ідентифікації загроз, тому що деякі зафіксовані загрози могли бути викликані помилковими діями користувачів, неправильно вибрано параметр систем і пошукових роботів. Виникла ідея порівняти активність на існуючих і нових елементах кіберпростору. Для досягнення цієї целібила налаштована досвідчена майданчик, що імітує нове підключення до мережі Інтернет кількох сотень комп'ютерів. Дослідження показало, що немає тимчасового лага між появою об'єкта в мережі і початком спроб доступу до нього (рис. 5). На основі даних аналізу були побудовані тимчасові діаграми подій, виявлені потенційно небезпечні джерела і адреси запитів (рис. 6).

    За даними майданчика було досліджено вплив розміщення інформації в системі доменних імен (DNS) на інтенсивність спроб доступу. Для половини розміщених ресурсів були внесені відомості в пряму і зворотну зону DNS. Гіпотеза про використання DNS не підтвердилася - на рис. 7 наведені дані по спробам доступу по

    обом типам ресурсів: візуально ніякої системи не проглядається, співвідношення спроб за типами 1: 1.

    з4000 ззссс з2ССС з1ССС зсссс

    29000 28000 27000 26000 25000 24000

    ЛКЛ / М.

    L / lCTlfOI * HL / lCTlfOI * HL / lCTlfOI * HL / lCTlfOI ^ HL / lCTlfOI ^ HL / lCTlfOI

    Мал. 7. Кількість звернень до ресурсів, які мають запис в DNS і без неї

    Для підвищення ефективності функціонування системи блокування з'єднань був проведений кореляційний аналіз подій, зафіксованих на дослідному майданчику. Подією вважалося кількість зафіксованих спроб доступу до заданого ресурсу за період часу, або кількість перевищень деякого порога. Для аналізу були взяті найбільш популярні, виходячи з поточних спостережень, сервіси та пораховані їх попарні коефіцієнти лінійної кореляції (коефіцієнт кореляції Пірсона). Результати наведені в таблиці 1.

    Таблиця 1. Коефіцієнт лінійної кореляції для окремих сервісів

    HTTP HTTPS Telnet HTTPa SIP RDP SSH mSQL Radmin MySQL

    HTTP 1 0,957 -0,2 0,016 -0,104 0,202 -0,072 -0,114 -0,06 -0,017

    HTTPS 0,957 1 -0,189 -0,036 -0,086 0,208 -0,03 -0,115 -0,06 0,054

    Telnet -0,2 -0,189 1 -0,17 0,179 -0,191 0,067 0,367 0,027 -0,163

    HTTPa 0,016 -0,036 -0,17 1 0,134 -0,031 0,607 -0,351 0,295 0,468

    SIP -0,104 -0,086 0,179 0,134 1 0,464 0,27 0,386 0,4 0,174

    RDP 0,202 0,208 -0,191 -0,031 0,464 1 0,279 -0,036 0,241 0,153

    SSH -0,072 -0,03 0,067 0,607 0,27 0,279 1 0,286 0,191 0,618

    mSQL -0,114 -0,115 0,367 -0,351 0,386 -0,036 0,286 1 0,014 -0,204

    Radmin -0,0б -0,06 0,027 0,295 0,4 0,241 0,191 0,014 1 -0,06

    MySQL -0,017 0,054 -0,163 0,468 0,174 0,153 0,618 -0,204 -0,06 1

    З виявлених зв'язків можна виділити пари:

    • HTTP-HTTPS - виявлення веб-серверів за звичайним і захищеного з'єднання (0,957);

    • SSH-HTTPa -согласованние спроби пошуку послуг віддаленого входу і проксі-серверів (0,607);

    • MySQL-SSH - узгоджені спроби виявлення мережевої бази даних і проксі-серверів (0,618).

    Крім перерахованих вище зв'язків на інший вибірці було отримано коефіцієнт кореляції 0,497 на парі протоколів SSH-SMTP - спроби входу на віддалений сервер і доступу до поштової. Таким чином, існує сильний зв'язок між HTTP-HTTPS і при

    зверненні до одного з них велика ймовірність спроби доступу по другому. У свою чергу, доступ за цими протоколами не корелює з іншими протоколами, і можна зробити висновок про істотно різних джерелах загроз. Серед інших сервісів найбільш показовим по спробам доступу є протокол SSH (SecureShell), доступ по якому може служити індикатором спроб виявлення слабо захищених сервісів з другої групи (SSH, MYSQL, HTTPa, SMTP). Проведене дослідження дозволяє виявити взаємозв'язок між окремими видами загроз і удосконалити методи превентивного захисту.

    Висновок. В даний час в корпоративній мережі організацій Красноярського наукового центру СВ РАН активно використовуються системи моніторингу критичних інтернет-сервіси, уразливих з кіберпростору. Ведеться розробка моделей безпеки веб-сервісів, орієнтованих використання у кіберпросторі [5]. Аналіз всіх інформаційно-телекомунікаційних активів наукової організації в контексті безпеки кіберпростору дозволяє виявити нові критичні активи та недоліки в їх безпеці. Комплексні методи протидії, пропоновані стандартом кібербезпеки, дозволяють знайти прийнятні рішення, що забезпечують безпеку активів кіберпростору.

    Наведене дослідження може бути перенесено на організації схожого профілю, наприклад, освітні установи та органи муніципального управління. Визначення основних об'єктів кібербезпеки для конкретної предметної області їх можливих взаємодій дозволяє по-новому поглянути на наявні системи захисту інформації та системи безпеки. На погляд автора, найбільший ефект може бути досягнутий тільки шляхом підвищення загальної грамотності співробітників в сфері кібербезпеки, так як більшість ризиків пов'язані з неправильними діями, необізнаність чи бездіяльністю конкретних людей.

    СПИСОК ЛІТЕРАТУРИ

    1. Бородакій Ю.В., Добродєєв А.Ю., Бутусов І.В. Кібербезпека як основний фактор національної та міжнародної безпеки XXI століття (Частина 1) // Питання кібербезпеки. 2013. № 1 (1). С. 2-9.

    2. Ісаєв С.В. Аналіз динаміки інтернет-загроз мережі Красноярського наукового центру СВ РАН // Вісник СібГАУ. Випуск 3 (43). 2012. С. 20-25.

    3. Ісаєв С.В. Кібербезпека наукової установи - активи і загрози // Інформатизація та зв'язок. 2015. №1. С. 53-57.

    4. Ісаєв С.В. Про законодавчу базу в сфері захисту інформації в інформаційно-телекомунікаційних системах / Матеріали XIV Всерос. науково-практичної конф. «Проблеми інформатизації регіону» - Красноярськ: ІВМ СО РАН, 2015. С. 72-78.

    5. Кононов Д.Д., Ісаєв С.В. Модель безпеки веб-додатків на основі мандатної рольового розмежування доступу // Вісник Бурятського державного університету Випуск 9. 2012. С. 29-33.

    6. Куляс Н.В. Система розпізнавання інтернет загроз по журналам веб-сервісів // Молодий учений. 2015. № 11 (91). С. 79-83.

    7. Штітіліс Д., Клішаускас В. Особливості правового регулювання кібербезпеки в національних законах Литви, Росії та США: стратегії кібербезпеки // Питання російського і міжнародного права. 2013. № 7-8. C. 80-100.

    8. ISO / IEC 27032 до: 2012 Information technology - Security techniques - Guidelines for cybersecurity. Режим доступу: http://www.iso.org/iso/ru/catalogue_detail?csnumber=44375, дата звернення 20.01.2016.

    9. Lee, Newton. Counterterrorism and Cybersecurity: Total Information Awareness (2nd ed.). Springer. 2015. 234 p.

    10. Singer, P. W .; Friedman, Allan. Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press. 2014. 320 p.

    11. Wu, Chwan-Hwa (John); Irwin, J. David. Introduction to Computer Networks and Cybersecurity. BocaRaton: CRC Press. 2013. 1336 p.

    UDK 004.738

    ANALYSIS OF CYBER THREATS AND THEIR SOURCES ON THE CORPORATE NETWORK KRASNOYARSK SCIENTIFIC CENTER OF THE SB RAS

    Sergei V. Isaev

    PhD, Docent, Deputy Director for Science Institute of computational modelling of the Siberian Branch of the Russian Academy of Sciences, 50/44, Akademgorodok, 660036, Krasnoyarsk, Russia, e-mail: Ця електронна адреса захищена від спам-ботів. Вам потрібно увімкнути JavaScript, щоб побачити її.

    Abstract Work is devoted to the topical issues of cyber security and combating cyber threats. The security of online services is one of the important parts of the security problems of cyberspace. Is offered the method for detecting threats based on the joint temporal analysis of logs of network services and Internet services. The result of the analysis is to identify potential vulnerabilities that must be protected in a special way. Tested analysis algorithms to detect certain types of threats and implement their software components. Algorithms and software applied to real data of the corporate network of the Krasnoyarsk scientific center SB RAS. Keywords: information protection, cyber security, computer networks

    References

    1. Borodakij YU.V., Dobrodeev A.YU., Butusov I.V. Kiberbezopasnost 'kakosnovnojfaktornacional'nojimezhdunarodnojbezopasnosti HKHI veka (CHast' 1) [Cybersecurity as a major factor in national and international security of the XXI century] // Voprosykiberbezopasnosti. 2013. № 1 (1). pp. 2-9. (In Russian).

    2. Isaev S.V. Analizdinamiki internet-ugrozsetiKrasnoyarskogonauchnogocentra SO RAN [The analysis of the dynamics of internet threats of the Krasnoyarsk scientific center SB RAS network] // VestnikSibGAU. Vypusk 3 (43). 2012- pp. 20-25. (In Russian).

    3. Isaev S.V.Kiberbezopasnost 'nauchnogouchrezhdeniya - aktivyiugrozy [The cybersecurity of the research institutions - assets and threats] // Informatizaciyaisvyaz. 2015. №1. Pp. 53-57. (In Russian).

    4. Isaev S.V. O zakonodatel'nojbaze v sferezashchityinformacii v informacionno-telekommunikacionnyhsistemah [The legal framework in the sphere of information protection in information and telecommunication systems] / Materialy XIV Vseros. nauchno-prakticheskojkonf. «Problemyinformatizaciiregiona». Krasnoyarsk: IVM SO RAN. 2015. Pp. 72-78. (In Russian).

    5. Kononov D.D., Isaev S.V. Model 'bezopasnosti veb-prilozhenij na osnove mandatnogo rolevogo razgranicheniya dostupa [The security model for web applications on the basis of mandatory the role-based access] // Vestnik Buryatskogo gosudarstvennogo universiteta. Vypusk 9. 2012. Pp. 29-33. (In Russian).

    6. Kulyasov N.V. Sistema raspoznavaniya internet ugroz po zhurnalam veb-servisov [Recognition system of the Internet threat by logs web-services] // Molodojuchyonyj. 2015. № 11 (91). Pp.

    79-83. (In Russian).

    7. Stitilis D., Klisauskas V. Osobennosti pravovogo regulirovaniya kiberbezopasnosti v natsionalnykh zakonakh Litvy, Rossii I SShA: strategii kiberbezopasnosti [Features of legal regulation of cybersecurity in the national laws of Lithuania, Russia and the United States: cybersecurity strategies] // Voprosy rossiyskogo I mezhdunarodnogo prava. 2013. No 7-8. Pp.

    80-100. (In Russian).

    8. ISO / IEC 27032 до: 2012 Information technology - Security techniques - Guidelines for cybersecurity. Available at: http://www.iso.org/iso/ru/catalogue_detail?csnumber=44375, accessed 20.01.2016.

    9. Lee, Newton. Counterterrorism and Cybersecurity: Total Information Awareness (2nd ed.). Springer. 2015. 234 p.

    10. Singer, P. W .; Friedman, Allan. Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press. 2014. 320 p.

    11. Wu, Chwan-Hwa (John); Irwin, J. David. Introduction to Computer Networks and Cybersecurity. Boca Raton: CRC Press. 2013. 1336 p.


    Ключові слова: ЗАХИСТ ІНФОРМАЦІЇ /кібербезпеки /КОМП'ЮТЕРНІ МЕРЕЖІ

    Завантажити оригінал статті:

    Завантажити