Ақпаратты қорғау құралдары
Қазақстан Республикасының Білім және Ғылым министрлігі
Л.Н. Гумилев атындағы Еуразия ұлттық университеті
Тұрсын Дамир Бейбитұлы
Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары
ДИПЛОМДЫҚ ЖҰМЫС
5В100200 - Ақпараттық қауіпсіздік жүйелері мамандығы
Нұр-Сұлтан 2022
Қазақстан Республикасының Білім және Ғылым министрлігі
Л.Н. Гумилев атындағы Еуразия ұлттық университеті
Қорғауға жіберілді
Кафедра меңгерушісі
к.ф.-м.н., Phd, доцент
Д.Ж. Сатыбалдина______________
ДИПЛОМДЫҚ ЖҰМЫС
Тақырыбы: Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары
5В100200 - Ақпараттық қауіпсіздік жүйелері мамандығы
Орындаған: Тұрсын Д.Б.
Ғылыми жетекшісі: Ахметова Ж.Ж.
Нұр-Сұлтан 2022
Мазмұны
Кіріспе
1 Ақпараттық жүйелердің тұрақтылығы
1.1 Ақпараттық жүйелердің тұрақтылығы ұғымы
1.2 Кибершабуылдар түрлері
2. Кибершабуыл жасау себептері
2.1 Ақ инцендентерге назар аудару
2.2 Инциденттерге әрекет ету жөніндегі нұсқаулық және құралдар
3. Ақпараттық жүйелердің тұрақтылығын арттыру тәсілдері
3.1 Қорғаныс жүйесін "Қара" және "Ақ" жәшік әдісі бойынша тестілеу.
3.2 SIEM (Security Information and Event Management) жүйелері
3.3 DLP (Data Loss Prevention) жүйесі
3.4 Ақ оқиғасына жауап беру мысалы
Қорытынды
Қолданылған әдебиеттер
ПРИЛОЖЕНИЕ
Кіріспе
Ақпараттық жүйелердің қауіпсіздігі Ақпараттық жүйелер басшыларының алдында тұрған негізгі мәселелердің бірі болып қала береді. Дәстүрлі алаңдаушылық компьютерлерге және қоймаларға күштеп кіруден бастап өрт, жер сілкінісі, су тасқыны және дауылдың жойылуына дейін. Жақында Ақпараттық жүйелер мен деректерді кездейсоқ немесе қасақана рұқсатсыз кіруден, ашудан, өзгертуден немесе жоюдан қорғауға баса назар аударылды. Бұл оқиғалардың салдары сапаның нашарлауынан немесе клиенттерге қызмет көрсетудің бұзылуынан корпоративтік сәтсіздікке дейін болуы мүмкін. Ақпараттың негізгі қауіпсіздігі, олардың деректері үшін шексіз қауіп-қатердің алдын алу үшін олардың әдістері осы Қағидаларға сәйкес келетіндігін бағалау қажет.
Көптеген шешімдерді қауіпсіздік жүйелері үшін тәуекелдерді жоюға тырысатын бірнеше компания өз ұйымында ақпараттық қауіпсіздік тіректерін бекіту арқылы қолданады, өйткені біздің сандық ғасырда ақпаратқа ие адам билікке ие.
Инцидент туындаған кезде ақ жауапты қызметкерлерден инциденттен болатын залалды барынша азайтуға және зиянкестерді қылмыстық қудалау үшін дәлелдер жинауға мүмкіндік беретін жылдам және нақты қадамдар талап етіледі. Осы қадамдарды қатесіз орындау үшін АҚ сарапшылары жасаған АҚ инциденттеріне әрекет ету жөніндегі нұсқаулықтың болуы қажет. Егер АҚ-ға жауапты бөлімшелердің қызметкерлері туындаған инцидентке қалай әрекет ету керектігін және тергеу жүргізу үшін қажетті деректерді жедел жинауды қалай қамтамасыз етуді білмесе, шабуыл жасаған ұйым айтарлықтай шығындарға ұшырайды. АҚ инциденттеріне әрекет етудегі қателер шабуылдаушының шабуыл мақсаттарына жетуіне әкеледі және оған АЖ-да өзінің болуының іздерін жоюға мүмкіндік береді.
ДОБАВИТЬ ЦЕЛЬ И ЗАДАЧИ ДИПЛОМНОЙ РАБОТЫ
Л.Н.Гумилев атындағы Еуразия ұлттық университеті КеАҚ
Ақпараттық технологиялар факультеті
Ақпараттық қауіпсіздік кафедрасы
Ақпараттық қауіпсіздік жүйелері білім беру бағдарламасы
Бекітемін
Ақпараттық қауіпсіздік
кафедрасының меңгерушісі
ф.-м.ғ.к., профессор
Сатыбалдина Д.Ж.___________
16 01 2022ж.
Дипломдық жұмысты (жобаны) орындауға ТАПСЫРМА
Студент ФИО, 4 курс, АҚЖ-45, Ақпараттық қауіпсіздік жүйелері білім беру бағдарламасы, күндізгі оқу бөлімі
Дипломдық жұмыстың (жобаның): Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары
№ 47-п ректордың бұйрығымен бекітілген 14 01 2022 ж.
Білім алушының аяқталған жұмысты тапсыру мерзімі 17 05 2022 г.
Жұмысқа қажетті бастапқы деректер (заңдар, әдебиет көздері, зертханалық және өндірістік мәліметтер)
Дипломдық жұмыста (жобада) жасалатын тақырыптар тізімі
-Ақпараттық жүйелердің тұрақтылығы
-Кибершабуыл жасау себептері
-Ақпараттық жүйелердің тұрақтылығын арттыру тәсілдері
-Қорытынды
Графикалық материалдар тізбесі (сызбалар, кестелер, диаграммалар және т.б.) 21 сурет
Ұсынылатын негізгі әдебиеттер тізімі
1. Ермаков А.А. Основы надежности информационных систем: учебное пособие. - Иркутск: ИрГУПС, 2006.- 151с.
2. Г. В. Ващенко, Б. С. Добронец Надежность информационных систем:
Лабораторный практикум, 2008. -- 104 с.
3. Монахов, Ю. М.
4. Функциональная устойчивость информационных систем. В 3 ч. Ч. 1. Надежность программного обеспечения : учеб.пособие Ю. М. Монахов ; Владим. гос. ун-т. - Владимир : Издво Владим. гос. ун-та, 2011. - 60 с.
Жұмыс бойынша кеңестер (оларға қатысты жұмыс бөлімдерін көрсете отырып)
Бөлімнің (тараудың) нөмірі, атауы
Ғылыми жетекші, консультант
Тапсырманы алу мерзімі
Тапсырма берілді (қолы)
Тапсырма қабылданды (қолы)
Кіріспе
16.01.2022
Негізгі бөлім
14.02.2022
Практикалық бөлім
21.01.2022
Қорытынды
20.03.2022
Қолданылған әдебиеттер тізімі
26.03.2022
Нормабақылау
Токкулиева А.К.
14.05.2022
Дипломдық жұмысты (жобаны) орындау кестесі
№
Жұмыс кезеңдері
Жұмыс кезеңдерін орындау мерзімдері
Ескерту
1
Дипломдық жұмыстың (жобаның) тақырыбын бекіту
14.01.2022
2
Дипломдық жұмысты (жобаны) дайындау үшін материалдар жинау
16.01.2022
3
Дипломдық жұмыстың (жобаның) теориялық бөлігін дайындау (1-бөлім)
16.02.2022
Практикаға кеткенге дейін
4
Дипломдық жұмыстың (жобаның) талдамалық бөлігін (2-3-бөлімдер) дайындау
27.02.2022
Практика кезінде
5
Дипломдық жұмыстың (жобаның) толық мәтінінің жоба нұсқасын аяқтау
21.03.2022
Практика аяқталғаннан кейінгі бірінші аптада
6
Алдын ала қорғауға дипломдық жұмысты (жобаны) ұсыну
13.04.2022
Шолу дәрістері
(консультациялар) кезінде
7
Дипломдық жұмысты (жобаны) ұсыну рецензияға
14.05.2022
8
Ғылыми жетекшінің пікірімен және рецензиясымен дипломдық жұмыстың (жобаның) түпкілікті нұсқасын ұсыну
25.05.2022
9
Дипломдық жұмысты қорғау (жобаның)
13.06.2022
МАК кестесіне сәйкес
Тапсырманың берілген күні 16 01 2022 ж.
Ғылыми жетекші
қолы, Т. А. Ә., ғылыми атағы, лауазымы
Тапсырманы қабылдады: студент
қолы Т.А.Ә.
Ақпараттық жүйелердің тұрақтылығы
Ақпараттық жүйенің тұрақтылығы
Ақпараттық жүйенің тұрақтылығы деп бастапқы бағдарламалардың қателері, қызметкерлер мен пайдаланушылардың дұрыс емес әрекеттері, бағдарламалық жасақтаманың анықталмаған қателері, жабдықтың істен шығуы және істен шығуы сияқты тұрақсыздық факторларының әсерінен Шығыс реакцияларын спецификацияда белгіленген төзімділік шегінде сақтай отырып, қажетті ақпаратты түрлендіруді жүзеге асыру қасиеті түсініледі. Әдеттегідей, әдеттегі жүйе үшін 99,5% - ға тең сенімділік жеткілікті (әдетте артық компоненттері бар серверлік жүйелер), ал оның бір жылдағы жұмыс уақыты шамамен 43 сағатты құрауы мүмкін. Ақпараттық жүйелердің жоғары әзірлік деңгейі үшін 99,9 % (кластерлік жүйелер, бірақ апаттарға орнықтылық функцияларынсыз) көрсеткіші қажет, бұл жылына 8 сағаттық тоқтап тұруға сәйкес келеді. Сонымен, апатқа төзімді жүйелер үшін өнімділік көрсеткіші 99,9999% құрайды (жылына 32 секундтан аспайды).
Ақпараттық қауіпсіздікті анықтау
Ақпараттық қауіпсіздік стратегиясын жасамас бұрын, қорғаудың белгілі бір әдістері мен әдістерін қолдануға мүмкіндік беретін тұжырымдаманың негізгі анықтамасын қабылдау қажет.
Саланың тәжірибешілері ақпараттық қауіпсіздік деп ақпаратпен байланысты процестердің табиғи және жасанды сипаттағы қасақана немесе байқаусызда болатын әсерлерге тұтастығы мен тұрақтылығын қамтамасыз ететін ақпараттың, оның тасымалдаушыларының және инфрақұрылымының тұрақты қауіпсіздігін түсінуді ұсынады. Әсер ету ақпараттық қатынастар субъектілеріне зиян келтіруі мүмкін АҚ қатерлері түрінде жіктеледі.
Осылайша, ақпаратты қорғау деп нақты немесе болжамды АҚ-қатерлердің алдын алуға, сондай-ақ инциденттердің салдарын жоюға бағытталған құқықтық, әкімшілік, ұйымдастырушылық және техникалық шаралар кешені түсініледі. Ақпаратты қорғау процесінің үздіксіздігі ақпараттық циклдің барлық кезеңдерінде: ақпаратты жинау, сақтау, өңдеу, пайдалану және беру процесінде қауіптермен күресуге кепілдік беруі керек.
Бұл мағынада ақпараттық қауіпсіздік жүйенің жұмыс қабілеттілігінің сипаттамаларының біріне айналады. Уақыттың әр сәтінде жүйе қауіпсіздіктің өлшенетін деңгейіне ие болуы керек және жүйенің қауіпсіздігі жүйенің өмір сүру кезеңіндегі барлық уақыт кезеңдерінде жүзеге асырылатын үздіксіз процесс болуы керек.
АҚ жүйесі
Компания-заңды тұлға үшін ақпараттық қауіпсіздік жүйесі негізгі ұғымдардың үш тобын қамтиды: тұтастық, қол жетімділік және құпиялылық. Әрқайсысының астында көптеген сипаттамалары бар ұғымдар жасырылған.
Тұтастық дегеніміз-дерекқорлардың, басқа ақпараттық массивтердің кездейсоқ немесе қасақана жойылуына, рұқсатсыз өзгерістер енгізуге тұрақтылығы. Тұтастық ұғымын келесідей қарастыруға болады:
статикалық, белгілі бір техникалық тапсырма бойынша құрылған және пайдаланушыларға қажетті конфигурацияда және дәйектілікте негізгі қызмет үшін қажетті ақпарат көлемін қамтитын ақпараттық объектілердің өзгермейтіндігімен, түпнұсқалығымен көрінеді;
динамикалық, күрделі әрекеттердің немесе транзакциялардың дұрыс орындалуын білдіреді, ақпараттың қауіпсіздігіне зиян тигізбейді.
Динамикалық тұтастықты бақылау үшін арнайы техникалық құралдар қолданылады, олар ақпарат ағынын талдайды, мысалы, қаржылық және ұрлық, қайталану, қайта бағыттау, хабарлама тәртібін өзгерту жағдайларын анықтайды. Негізгі сипаттама ретінде тұтастық кіріс немесе қол жетімді ақпарат негізінде әрекет ету туралы шешім қабылданған кезде қажет. Командалардың орналасу тәртібін немесе әрекеттер тізбегін бұзу технологиялық процестерді, бағдарламалық кодтарды сипаттау жағдайында және басқа да ұқсас жағдайларда үлкен зиян келтіруі мүмкін.
Қол жетімділік - бұл уәкілетті субъектілерге олар үшін қызығушылық тудыратын деректерге қол жеткізуге немесе осы мәліметтермен алмасуға мүмкіндік беретін қасиет. Субъектілерді заңдастырудың немесе авторизациялаудың негізгі талабы әр түрлі қол жетімділік деңгейлерін құруға мүмкіндік береді. Жүйенің ақпарат беруден бас тартуы кез-келген ұйым немесе пайдаланушылар тобы үшін проблемаға айналады. Мысал ретінде жүйелік іркіліс жағдайында мемлекеттік қызметтер сайттарының қолжетімсіздігін келтіруге болады, бұл көптеген пайдаланушыларды қажетті қызметтерді немесе мәліметтерді алу мүмкіндігінен айырады.
Конфиденциалдық дегеніміз - ақпараттың пайдаланушыларға қол жетімді болу қасиеті: бастапқыда рұқсат етілген субъектілер мен процестер. Көптеген компаниялар мен ұйымдар құпиялылықты АҚ-ның негізгі элементі ретінде қабылдайды, бірақ іс жүзінде оны толығымен жүзеге асыру қиын. Ақпараттың ағып кету арналары туралы барлық деректер АҚ тұжырымдамаларының авторларына қол жетімді емес және көптеген техникалық қорғау құралдарын, соның ішінде криптографиялық құралдарды еркін сатып алуға болмайды, кейбір жағдайларда айналым шектеулі.
АҚ - ның тең қасиеттері пайдаланушылар үшін әр түрлі мәнге ие, сондықтан деректерді қорғау тұжырымдамаларын жасауда екі экстремалды санат бар. Мемлекеттік құпиямен байланысты компаниялар немесе ұйымдар үшін құпиялылық, мемлекеттік қызметтер немесе білім беру мекемелері үшін ең маңызды параметр - қолжетімділік негізгі параметр болып табылады.
АҚ тұжырымдамаларындағы қорғау объектілері
Тақырыптардағы айырмашылық қорғаныс объектілеріндегі айырмашылықтарды тудырады. Қорғау объектілерінің негізгі топтары:
барлық түрдегі ақпараттық ресурстар (ресурс деп материалдық объект түсініледі: қатқыл диск, өзге тасымалдаушы, оны сәйкестендіруге және субъектілердің белгілі бір тобына жатқызуға көмектесетін деректері мен деректемелері бар құжат);
азаматтардың, ұйымдардың және мемлекеттің ақпаратқа қол жеткізу құқығы, оны заң шеңберінде алу мүмкіндігі; қол жеткізу тек Нормативтік-құқықтық актілермен ғана шектелуі мүмкін, адам құқықтарын бұзатын кез келген кедергілерді ұйымдастыруға жол берілмейді;
деректерді құру, пайдалану және тарату жүйесі (жүйелер мен технологиялар, мұрағаттар, кітапханалар, нормативтік құжаттар);
қоғамдық сананы қалыптастыру жүйесі (БАҚ, интернет-ресурстар, Әлеуметтік институттар, білім беру мекемелері).
Әрбір объект ақ қауіп-қатерінен және қоғамдық тәртіпке қарсы қорғау шараларының ерекше жүйесін көздейді. Әрбір жағдайда ақпараттық қауіпсіздікті қамтамасыз ету объектінің ерекшелігін ескеретін жүйелік тәсілге негізделуі тиіс.
Ақпаратты қорғау құралдары
Ақ-қорғау тұжырымдамаларын әзірлеу мақсатында ақпаратты қорғау құралдары әдетте нормативтік (бейресми) және техникалық (ресми) болып бөлінеді.
Бейресми қорғаныс құралдары - бұл құжаттар, ережелер, іс - шаралар, ресми-бұл арнайы техникалық құралдар мен бағдарламалық жасақтама. Шектеу АҚ-жүйелерін құру кезінде жауапкершілік аймақтарын бөлуге көмектеседі: қорғанысты жалпы басқарумен әкімшілік персонал нормативтік әдістерді, ал IT-мамандар тиісінше техникалық тәсілдерді іске асырады.
Ақпараттық қауіпсіздік негіздері ақпаратты пайдалану бөлігінде ғана емес, сонымен бірге оны қорғаумен жұмыс жасау бөлігінде де өкілеттіктерді бөлуді қамтиды. Өкілеттіктердің мұндай бөлінуі бақылаудың бірнеше деңгейлерін қажет етеді.
Ресми қорғаныс құралдары
АҚ-қорғаудың техникалық құралдарының кең ауқымы мыналарды қамтиды:
Физикалық қорғаныс құралдары. Бұл механикалық, электрлік, электронды механизмдер, олар ақпараттық жүйелерге тәуелсіз жұмыс істейді және оларға қол жеткізуге кедергі келтіреді. Құлыптар, соның ішінде электронды, экрандар, перделер тұрақсыздандыратын факторлардың жүйелермен байланысына кедергі келтіруге арналған. Топ қауіпсіздік жүйелерінің құралдарымен, мысалы, ақпаратты алудың техникалық құралдары, Ендірілген құрылғылар орналасқан аймақта электромагниттік сәулелену деңгейінің қозғалысын немесе артуын анықтайтын бейнекамералармен, бейнетіркегіштермен, датчиктермен толықтырылады.
Аппараттық қорғау құралдары. Бұл электрлік, электронды, оптикалық, лазерлік және ақпараттық және телекоммуникациялық жүйелерге енетін басқа құрылғылар. Аппараттық құралдарды ақпараттық жүйелерге енгізер алдында олардың үйлесімділігіне көз жеткізу қажет.
Бағдарламалық құралдар - бұл АҚ-ны қамтамасыз етумен байланысты жеке және кешенді міндеттерді шешуге арналған қарапайым және жүйелі, кешенді бағдарламалар. DLP жүйелері мен SIEM жүйелері күрделі шешімдердің мысалы болып табылады: біріншісі ақпараттың ағып кетуіне, қайта форматталуына және ақпараттық ағындарды қайта бағыттауға жол бермейді, екіншісі ақпараттық қауіпсіздік саласындағы оқиғалардан қорғауды қамтамасыз етеді. Бағдарламалық жасақтама аппараттық құрылғылардың қуатын талап етеді және орнату кезінде қосымша резервтерді қамтамасыз ету қажет.
Ақпараттық қауіпсіздіктің спецификалық құралдарына дискідегі ақпаратты шифрлауға және сыртқы байланыс арналары арқылы қайта бағыттауға мүмкіндік беретін әртүрлі криптографиялық Алгоритмдер жатады. Ақпаратты түрлендіру корпоративтік ақпараттық жүйелерде жұмыс істейтін бағдарламалық және аппараттық әдістердің көмегімен жүзеге асырылуы мүмкін.
Ақпараттың қауіпсіздігіне кепілдік беретін барлық құралдар ақпараттың құндылығын алдын ала бағалағаннан және оны қорғауға жұмсалған ресурстардың құнымен салыстырғаннан кейін жиынтықта пайдаланылуға тиіс. Сондықтан қаражатты пайдалану туралы ұсыныстар жүйелерді әзірлеу кезеңінде тұжырымдалуы керек, ал бекіту бюджетті бекітуге жауап беретін басқару деңгейінде жасалуы керек.
Қауіпсіздікті қамтамасыз ету мақсатында барлық қазіргі заманғы әзірлемелерге, бағдарламалық және аппараттық қорғау құралдарына, қатерлерге мониторинг жүргізу және санкцияланбаған қол жеткізуден қорғаудың меншікті жүйелеріне уақтылы өзгерістер енгізу қажет. Тек қатерлерге реакцияның барабарлығы мен жеделдігі компания жұмысындағы құпиялылықтың жоғары деңгейіне қол жеткізуге көмектеседі.
Бейресми қорғаныс құралдары
Бейресми қорғаныс құралдары Нормативтік, әкімшілік және моральдық-этикалық болып бөлінеді. Қорғаудың бірінші деңгейінде ұйым қызметіндегі процесс ретінде ақпараттық қауіпсіздікті реттейтін нормативтік құралдар бар.
Нормативтік құралдар
Ақпараттық қауіпсіздікті қамтамасыз ету құралдарының бұл санаты ұйым деңгейінде жұмыс істейтін заңнамалық актілермен және нормативтік-өкімдік құжаттармен ұсынылған.
Әлемдік практикада нормативтік құралдарды әзірлеу кезінде ISOIEC 27000 негізіндегі ақ қорғау стандарттарына бағдарланады. Стандартты екі ұйым құрды:
ISO-халықаралық деңгейде танылған өндіріс және басқару процестерінің сапасын сертификаттау әдістемелерінің көпшілігін әзірлейтін және бекітетін стандарттау жөніндегі халықаралық комиссия;
IEC-АҚ жүйелері, оны қамтамасыз ету құралдары мен әдістері туралы өз түсінігін стандартқа енгізген халықаралық энергетикалық комиссия
ISOIEC 27000-2016 қазіргі нұсқасы АҚ енгізу үшін қажетті дайын стандарттар мен сыналған әдістерді ұсынады. Әдістеме авторларының пікірінше, ақпараттық қауіпсіздіктің негізі әзірлеуден кейінгі бақылауға дейінгі барлық кезеңдерді жүйелі және дәйекті жүзеге асыру болып табылады.
Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі стандарттарға сәйкестігін растайтын сертификат алу үшін барлық ұсынылған әдістемелерді толық көлемде енгізу қажет. Егер сертификат алудың қажеті болмаса, ISOIEC 27000-2002 немесе ұсынымдық сипаты бар ресейлік ГОСТ-тан бастап Стандарттың кез келген бұрынғы нұсқаларын қабылдауға рұқсат етіледі.
Стандартты зерделеу қорытындысы бойынша ақпарат қауіпсіздігіне қатысты екі құжат әзірленеді. Негізгі, бірақ аз формальды-ұйымның ақпараттық жүйелері үшін АҚ жүйесін енгізу шаралары мен әдістерін анықтайтын кәсіпорынның АҚ тұжырымдамасы. Компанияның барлық қызметкерлері орындауға міндетті екінші құжат - Директорлар кеңесі немесе атқарушы орган деңгейінде бекітілген Ақпараттық қауіпсіздік туралы ереже.
Компания деңгейіндегі ережеден басқа коммерциялық құпияны құрайтын мәліметтердің тізбесі, құпия деректерді жария еткені үшін жауапкершілікті бекітетін еңбек шарттарына қосымшалар, өзге де стандарттар мен әдістемелер әзірленуге тиіс. Ішкі нормалар мен қағидалар іске асыру тетіктері мен жауапкершілік шараларын қамтуға тиіс. Көбінесе шаралар тәртіптік сипатта болады, ал бұзушы коммерциялық құпия режимін бұзудан кейін жұмыстан босатуға дейін елеулі Санкциялар қолданылатынына дайын болуы керек.
Ұйымдастырушылық және әкімшілік шаралар
Ақ қорғау жөніндегі әкімшілік қызмет шеңберінде қауіпсіздік қызметтерінің қызметкерлері үшін шығармашылық мүмкіндіктер ашылады. Бұл келіссөздер бөлмелері мен басшылықтың кабинеттерін тыңдаудан қорғауға және Ақпаратқа қол жеткізудің әртүрлі деңгейлерін орнатуға мүмкіндік беретін сәулет-жоспарлау шешімдері. Компанияның қызметін ISOIEC 27000 стандарттары бойынша сертификаттау, жекелеген аппараттық-бағдарламалық кешендерді сертификаттау, субъектілер мен объектілерді қауіпсіздіктің қажетті талаптарына сәйкестігіне аттестаттау, қорғалған ақпарат массивтерімен жұмыс істеу үшін қажетті лицензиялар алу маңызды ұйымдастырушылық шаралар болады.
Қызметкерлердің қызметін реттеу тұрғысынан Интернетке, сыртқы электрондық поштаға және басқа ресурстарға рұқсат беру сұрауларының жүйесін жобалау маңызды болады. Электрондық пошта арналары арқылы мемлекеттік органдарға берілетін қаржылық және басқа да ақпараттың қауіпсіздігін күшейту үшін электрондық цифрлық қолтаңбаны алу Жекелеген элемент болады.
Моральдық-этикалық шаралар
Моральдық-этикалық шаралар адамның құпия ақпаратқа немесе айналымдағы шектеулі ақпаратқа жеке көзқарасын анықтайды. Компания қызметіне қауіп-қатердің әсері туралы қызметкерлердің білім деңгейін арттыру қызметкерлердің сана-сезімі мен жауапкершілік деңгейіне әсер етеді. Ақпарат режимінің бұзылуымен күресу үшін, мысалы, парольдерді беру, медианы ұқыпсыз пайдалану, жеке әңгімелерде құпия деректерді тарату, қызметкердің жеке санасына баса назар аудару қажет. АҚ корпоративтік жүйесіне қатынасына байланысты болатын персоналдың тиімділік көрсеткіштерін белгілеу пайдалы болады.
Қызметкерлердің қызметін реттеу тұрғысынан Интернетке, сыртқы электрондық поштаға және басқа ресурстарға рұқсат беру сұрауларының жүйесін жобалау маңызды болады. Электрондық пошта арналары арқылы мемлекеттік органдарға берілетін қаржылық және басқа да ақпараттың қауіпсіздігін күшейту үшін электрондық цифрлық қолтаңбаны алу Жекелеген элемент болады.
2) Кибершабуыл жасау
Шабуылдаушыны іс-әрекетке итермелейтін көптеген факторлар бар, және АҚ оқиғасына жауап беретін маман бола отырып, біз көбінесе оны не себеп болғанын білмейсіз, мүмкін біз шабуылдың нақты себебін анықтай алмайсыз. Шабуылдың себебін анықтау, ең жақсы жағдайда, процесс оңай емес және жиі нәтиже бермейді. Кибер барлау шабуылдаушылардың әртүрлі топтары қолданатын тактикаларды, әдістерді, процедуралар мен құралдарды мұқият зерттей отырып, маңызды кеңестер береді, бірақ бұл фрагменттердің болу фактісі жалаулардың лақап аттарымен зұлымдықты, кибер барлау мен жалған ақпаратқа қарсы іс-қимыл шараларын олардың шығу тегін жасыру және жалған жолмен бағыттау үшін қолдануға нақты мүмкіндік береді. Әр шабуылды белгілі бір топқа жатқызу мүмкін болмауы мүмкін, бірақ шабуылдаушылардың жалпы себептерін түсіну АҚ оқиғаларына жауап беретіндерге шабуыл жасаушылардың мінез-құлқын болжауға және шабуылға сәтті қарсы тұруға мүмкіндік беретін қарсы шабуылды жүзеге асыруға көмектеседі. Жалпы алғанда, бұзудың ең көп таралған мақсаттары-барлау(тыңшылық), қаржылық алаяқтық немесе жүйенің бұзылуы. Зиянкестер қаржылық немесе басқа да пайда алу үшін ақпаратқа қол жеткізуге тырысады немесе Ақпараттық жүйелер мен оларды пайдаланатын адамдар мен объектілерге зиян келтіруге тырысады. Ықтимал қарсыластарыңыздың ойлау тәсілін жақсы түсіну үшін біз кибершабуылдарды жасауға итермелейтін әртүрлі себептерді қарастырамыз.
Зияткерлік меншікті ұрлау
Көптеген компаниялар бәсекелестерінен өзгеше болу үшін кейбір ақпаратты пайдаланады. Ноу-хау әр түрлі қолданылады: бұл құпия рецепттер, патенттелген технологиялар немесе белгілі бір компанияға артықшылық беретін кез-келген басқа білім болуы мүмкін. Ақпарат құнды болған кезде, ол кибершабуылдар үшін керемет мақсат болып табылады. Егер шабуылдаушы жеке мемлекет немесе саладағы бәсекелес осы білімді өз мүдделеріне тікелей қолдана алса, зияткерлік меншікті ұрлау өздігінен аяқталуы мүмкін. Сонымен қатар, шабуылдаушы бұл ақпаратты сатуы немесе жәбірленушіден ақшаны оның иелігінде болған кезде құпия ақпаратты таратпаудың орнына қорқытып алуы мүмкін.
Жеткізу тізбегіне шабуыл
Көптеген ұйымдар серіктестік желіні, соның ішінде жеткізушілер мен клиенттерді өздерінің түпкі мақсаттарына жету үшін пайдаланады. Осындай көптеген қатынастармен шабуылдаушыларға мақсатты жүйелерге тікелей шабуыл жасаудың орнына, мақсатты жеткізу тізбегінің орта буындарын таңдау оңайырақ болады. Мысалы, бағдарламалық жасақтама шығаратын компанияға шабуыл жасау және зиянды кодты басқа компаниялар қолданатын өнімдерге енгізу шабуылдаушының бағдарламалық жасақтамасын сенімді көзден алынғандай тиімді механизммен қамтамасыз етеді. NotPetya зиянды бағдарламасын қолдану арқылы жасалған шабуыл бухгалтерлік бағдарламаны жасаушы компанияға нұқсан келтірді. Бұл шабуыл барысында деректерді жою үшін зиянды БҚ-ны клиенттердің жүйелеріне тасымалдауға мүмкіндік беретін бағдарламалық қамтылымды жаңарту функциясы пайдаланылды. Хабарламада айтылғандай, келтірілген шығын сомасы 10 миллиард доллардан асты. Аралық буындарға шабуыл жасаудың тағы бір тәсілі - өндірістік кәсіпорындардың технологиялық жүйелеріне шабуыл жасау, бұл техникалық талаптарға сәйкес келмейтін бөлшектердің пайда болуына әкелуі мүмкін. Егер мұндай өнімдер әскери салаға немесе басқа да маңызды салаларға түссе, бұл апатты бұзылуларға әкелуі мүмкін.
Қаржылық алаяқтық
Ұйымдастырылған кибершабуылдардың алғашқы себептерінің бірі болып табылатын қаржылық алаяқтық бүгінде зиянкестер үшін қозғаушы фактор болып қала береді. Тікелей қаржылық пайдаға қол жеткізудің көптеген тәсілдері бар. Кредиттік карталар туралы ақпаратты ұрлау, онлайн банкингтің есептік деректерін фишинг және банк жүйелерін, оның ішінде банкоматтарды ымыраластыру - осы және басқа да әдістер зиянкестердің қалталарын толықтыру үшін табысты пайдаланылуда. Пайдаланушылардың хабардарлығы мен банктердің жеделдігінің артуы алдыңғы жылдармен салыстырғанда шабуылдардың осы түрін жүзеге асыруды қиындатқанына қарамастан, қаржылық алаяқтық бүгінде сирек емес.
Бопсалау
Біз Зияткерлік меншікті ұрлауға байланысты бопсалау туралы қысқаша айтып өттік, бірақ ол әлдеқайда кең қолданылады. Ықтимал жәбірленушіге зиян келтіруі немесе оны қорлауы мүмкін кез-келген ақпарат ransomware үшін жем болып табылады. Жалпы мысалдар-құрбандардан ақша алу үшін қашықтан қол жеткізу немесе желі арқылы сөйлесу трояндарының күшімен алынған жеке немесе жақын сипаттағы суреттерді пайдалану.
Сонымен қатар, ақпараттық жүйелердің зақымдануы немесе зақымдану қаупі құрбандардан ақшаны бопсалау үшін пайдаланылуы мүмкін, өйткені Бұл онлайн-компанияларға DDoS ("қызмет көрсетуден бас тарту") түріндегі шабуылдарды сатып алу және тарату кезінде жасалады. Бизнес үшін маңызды ақпаратқа қол жетімділікті жоғалтумен байланысты апатты қаржылық шығындарға тап болған көптеген құрбандар шабуылдың салдарынан зардап шекпеу үшін шабуылдаушыларға төлем жасауды жөн көреді.
Тыңшылық
Тыңшылық жеке мемлекеттің немесе компанияның мүдделері болсын, кибершабуылдардың жиі кездесетін себебі болып табылады. Мақсатты ақпарат бұрын талқыланған зияткерлік меншік немесе шабуылдаушыға бәсекелестік немесе стратегиялық артықшылық бере алатын кең жоспар туралы ақпарат болуы мүмкін. Жеке мемлекеттер бір-біріне қарсы кибершабуылдарға үнемі қатысады, бүкіл әлемдегі маңызды жүйелердің мақсатты профильдерін қолдайды, олар ақпарат алу үшін пайдаланылуы мүмкін немесе олардың жұмысында ақаулық тудыруы мүмкін. Мемлекеттің қолдауымен немесе онсыз компаниялар кибер пайдалануды патенттелген технологиялармен, өндіріс әдістерімен, клиенттермен немесе нарықта неғұрлым тиімді бәсекелесуге мүмкіндік беретін басқа ақпаратпен байланысты ақпарат алу тетігі ретінде пайдалануды жалғастыруда. Инсайдерлік қауіптер де бар: мысалы, наразы қызметкерлер бәсекелестеріне сату үшін ішкі ақпаратты жиі ұрлайды немесе жаңа жұмыс іздеуде артықшылық алу үшін пайдаланады.
2.1) Ақ инцендентерге назар аудару
Ақпараттық қауіпсіздік инциденттеріне ден қоюдың негізгі мақсаттары залалды барынша азайту, ақпараттық жүйенің бастапқы күйін мүмкіндігінше қысқа мерзімде қалпына келтіру және болашақта осыған ұқсас оқиғаларды болдырмау жоспарын әзірлеу болып табылады. Бұл мақсаттарға екі негізгі кезеңде қол жеткізіледі: оқиғаны зерттеу және жүйені қалпына келтіру.
Тергеу мыналарды анықтауы керек:
:: бастапқы шабуыл векторы;
:: шабуыл кезінде пайдаланылған зиянды бағдарламалар мен құралдар;
:: шабуыл кезінде қандай жүйелерге әсер етті;
:: шабуылдан келген шығын көлемі;
:: шабуыл аяқталды ма, жоқ па, яғни шабуылдаушы өз мақсатына жетті ме;
:: шабуылдың уақыт шеңбері.
Тергеу аяқталғаннан кейін жүйені қалпына келтіру жоспарын әзірлеу және тергеу нәтижесінде алынған ақпаратты пайдалана отырып енгізу қажет.
ОҚИҒАҒА ЖАСАУ ПРОЦЕСІНІҢ НЕГІЗГІ КЕЗЕҢДЕРІ
Шабуылдың өмірлік циклі туралы ақпарат негізінде (өлтіру тізбегі) қорғаныс жүйесін қалыптастыруға болады. АЖ-ға шабуылда қолданылатын стратегияны талдау негізінде ақпараттық қауіпсіздік мамандары төменде сипатталатын инциденттерге әрекет ету стратегиясын әзірледі.
Дайындық (Preparation)
Ақпараттық қауіпсіздік оқиғасы орын алған сәтте ақпараттық қауіпсіздікке жауапты қызметкерлерден шұғыл және нақты әрекеттер талап етіледі. Сондықтан тиімді жауап беру үшін алдын ала дайындық қажет. Ақпараттық қауіпсіздік қызметкерлері АЖ қорғауды қамтамасыз етуі және пайдаланушыларды, сондай-ақ АТ қызметкерлерін ақпараттық қауіпсіздік шараларының маңыздылығы туралы хабардар етуі тиіс. Ақпараттық қауіпсіздік инциденттеріне әрекет ету персоналы тиісті дайындықтан өтіп, ақпараттық қауіпсіздік инциденттеріне тез және тиімді әрекет ету үшін ақпараттық қауіпсіздік бойынша тренингтерге жүйелі түрде қатысуы керек.
Сәйкестендіру (Identification)
Оқиғаға жауап берушілер әртүрлі ақпараттық қауіпсіздік жүйелерін пайдаланып анықтаған оқиғаның оқиға болып табылатынын немесе емес екенін анықтауы керек. Ол үшін жалпыға қолжетімді есептер, қауіп деректерінің арналары, бағдарламалық құрал үлгілерін статикалық және динамикалық талдауға арналған құралдар және басқа ақпарат көздері пайдаланылуы мүмкін. Статикалық талдау сынақ үлгісін тікелей іске қоспай орындалады және URL мекенжайлары немесе электрондық пошта мекенжайлары бар жолдар сияқты әртүрлі көрсеткіштерді анықтауға мүмкіндік береді. Динамикалық талдау үлгінің әрекетін анықтау және оның жұмысының артефактілерін (IOC) жинау үшін қорғалған ортада (Sandbox) немесе оқшауланған машинада зерттелетін бағдарламаның орындалуын қамтиды.
Компромисс көрсеткіштерін жинау итерациялық процесс болып табылады. SIEM жүйесінен алынған бастапқы ақпарат негізінде анықтау сценарийлері қалыптасады, оларды қолдану, әдетте, ымыраға келудің жаңа көрсеткіштерін анықтауға әкеледі. Осылайша алынған көрсеткіштер шабуылдың шекарасын нақтылауға көмектеседі және жаңа анықтау циклінің бастапқы нүктесі ретінде қызмет етеді. Оқиғаның ақпараттық қауіпсіздік оқиғасы екендігі анықталған жағдайда ғана одан әрі шаралар қабылданады.
Тежеу (Containment)
Ақпараттық қауіпсіздікке жауапты қызметкерлер зақымдалған компьютерлерді анықтауы және инфекция желі бойымен одан әрі таралмайтындай қауіпсіздік ережелерін орнатуы керек. Сонымен қатар, осы кезеңде компанияның АЖ вирус жұқтырған машиналарсыз жұмысын жалғастыра алатындай желіні қайта конфигурациялау қажет.
Жою (Eradication)
Бұл кезеңнің мақсаты бұзылған АЖ-ны инфекцияға дейін болған күйге қайтару болып табылады. Ақпараттық қауіпсіздікке жауапты қызметкерлер зиянды бағдарламаны, сондай-ақ ақпараттық жүйедегі вирус жұққан компьютерлерде қалдыруы мүмкін барлық артефакттарды жояды.
Қалпына келтіру (Recovery)
Бұрын бұзылған компьютерлер желіге қайтарылады. Сонымен бірге, ақпараттық қауіпсіздікке жауапты қызметкерлер қауіптің толығымен жойылғанына көз жеткізу үшін біраз уақыт осы машиналар мен жалпы АЖ жағдайын бақылауды жалғастырады.
Қорытынды (Lessons learned)
Ақпараттық қауіпсіздікке жауапты қызметкерлер оқиғаны талдайды, ақпараттық қауіпсіздікті қамтамасыз ететін бағдарламалық жасақтама мен жабдықтың конфигурациясына қажетті өзгерістерді енгізеді және болашақта осындай оқиғалардың алдын алу мақсатында ұсыныстарды қалыптастырады. Болашақ шабуылдың толық алдын алу мүмкін болмаса, берілген ұсыныстар мұндай оқиғаларға жауап беруді тездетеді.
Қорғау әдістері
Іс жүзінде қорғаныс әдістерінің бірнеше топтары қолданылады, соның ішінде:
физикалық және бағдарламалық құралдармен жасалатын болжамды ұрлаушының жолындағы кедергі;
қорғалатын жүйенің элементтерін басқару немесе оларға әсер ету;
деректерді жасыру немесе түрлендіру, әдетте, криптографиялық тәсілдермен;
нормативтік-құқықтық актілерді және деректер базасымен өзара іс-қимыл жасайтын пайдаланушыларды тиісті мінез-құлыққа итермелеуге бағытталған шаралар жиынтығын реттеу немесе әзірлеу;
мәжбүрлеу немесе пайдаланушы деректерді өңдеу ережелерін сақтауға мәжбүр болатын жағдайларды жасау;
пайдаланушыларды тиісті мінез-құлыққа итермелейтін ынталандыру немесе жағдай жасау.
Ақпаратты қорғау әдістерінің әрқайсысы әртүрлі санаттағы құралдардың көмегімен жүзеге асырылады. Негізгі құралдар - ұйымдастырушылық және техникалық.
Ақпаратты қорғаудың ұйымдастырушылық құралдары
Ақпаратты қорғаудың ұйымдастырушылық құралдарының кешенін әзірлеу қауіпсіздік қызметінің құзыретіне кіруі керек.
Көбінесе қауіпсіздік мамандары:
компьютерлік техникамен және құпия ақпаратпен жұмыс істеу ережелерін белгілейтін ішкі құжаттаманы әзірлейді;
персоналға Нұсқаулық және мерзімді тексерулер жүргізеді; жұмыс бойынша белгілі болған мәліметтерді жария еткені немесе заңсыз пайдаланғаны үшін жауапкершілік көрсетілген еңбек шарттарына қосымша келісімдерге қол қоюға бастамашылық жасайды;
маңызды деректер массивтері қызметкерлердің бірінің иелігінде болған жағдайларды болдырмау үшін жауапкершілік аймақтарын бөліңіз; жұмыс процесінің жалпы бағдарламаларында жұмысты ұйымдастырыңыз және маңызды файлдардың желілік дискілерден тыс жерде сақталуын қамтамасыз етіңіз;
деректерді кез келген пайдаланушының, соның ішінде ұйымның топ-менеджментінің көшіруінен немесе жойылуынан қорғайтын бағдарламалық өнімдерді енгізеді;
олар кез-келген себептер бойынша істен шыққан жағдайда жүйені қалпына келтіру жоспарларын жасайды.
Егер компанияда арнайы АҚ-қызметі болмаса, шығу жолы қауіпсіздік жөніндегі маманды аутсорсингке шақыру болады. Қашықтағы қызметкер компанияның IT-инфрақұрылымын тексеріп, оны сыртқы және ішкі қауіптерден қорғау бойынша ұсыныстар бере алады. Сондай-ақ, АҚ-ға аутсорсинг корпоративтік ақпаратты қорғау үшін арнайы бағдарламаларды пайдалануды қамтиды.
Ақпаратты қорғаудың техникалық құралдары
Ақпаратты қорғаудың техникалық құралдарының тобы аппараттық және бағдарламалық құралдарды біріктіреді. Негізгі:
компьютерлік жүйеде деректердің маңызды массивтерін резервтік көшіру және қашықтан сақтау - тұрақты негізде;
деректерді сақтау үшін маңызды барлық желілік ішкі жүйелерді қайталау және резервтеу;
жеке элементтердің жұмыс қабілеттілігі бұзылған жағдайда желі ресурстарын қайта бөлу мүмкіндігін құру;
резервтік электрмен қоректендіру жүйелерін пайдалану мүмкіндігін қамтамасыз ету;
өрттен немесе жабдықтың сумен зақымдануынан қауіпсіздікті қамтамасыз ету;
деректер базасын және басқа ақпаратты рұқсатсыз кіруден қорғауды қамтамасыз ететін бағдарламалық жасақтаманы орнату.
Техникалық шаралар кешеніне Компьютерлік желілер объектілерінің физикалық қол жетімсіздігін қамтамасыз ету шаралары, мысалы, үй-жайларды камералармен және сигнализациямен жабдықтау сияқты практикалық әдістер кіреді.
Аутентификация и идентификация
Ақпаратқа заңсыз қол жеткізуді болдырмау үшін сәйкестендіру және аутентификация сияқты әдістер қолданылады.
Идентификация -ақпаратпен өзара әрекеттесетін пайдаланушыға өзіңіздің бірегей Атыңызды немесе кескініңізді беру механизмі.
Аутентификация - бұл Пайдаланушының рұқсат етілген жолмен сәйкестігін тексеру тәсілдерінің жүйесі.
Бұл қаражат деректерге рұқсат беруге немесе керісінше тыйым салуға бағытталған. Шынайылық, әдетте, үш жолмен анықталады: бағдарлама, құрылғы, адам. Бұл жағдайда аутентификация объектісі тек адам ғана емес, сонымен қатар техникалық құрал (компьютер, монитор, медиа) немесе деректер болуы мүмкін. Қорғаудың қарапайым әдісі - пароль.
2.2 Инциденттерге әрекет ету жөніндегі нұсқаулық және құралдар
АҚ қатерлеріне тиімді қарсы тұру үшін АЖ-ны барлық деңгейлерде қорғауды қамтамасыз ету ұсынылады. Жұмыс станцияларында Endpoint-антивирустарды орнату ұсынылады. IP желісінде IPS, FireWall, Proxy авторизациясы, анти-APT шешімдері, қауіп-қатер туралы біріктірілген мәліметтер ағыны бар SIEM, желілік тұзақ жүйелері және басқа АҚ жүйелері болуы керек.
АЖ қауіпсіздігін арттыруға сондай-ақ осы компанияның АЖ-не ену тестілерін (penetration testing) жүргізу және АҚ қамтамасыз ететін мамандарды енуді тестілеу бойынша есептермен таныстыру ықпал етеді. Тестілеуді үшінші тарап ұйымдары жүргізе алады, ал есептерден алынған ақпарат Ұйымның АЖ-дағы осалдықтарды анықтауға және жоюға көмектеседі.
АҚ-ға жауапты мамандар әр түрлі тренингтер мен семинарларда өз біліктіліктерін үнемі жетілдіріп отыруы, АҚ-ның соңғы үрдістерін қадағалауы және АҚ саласындағы жаңа бағдарламалық және аппараттық шешімдерден хабардар болуы, сондай-ақ пайда болатын қауіп-қатерлер мен шабуылдардың сценарийлерін қадағалауы тиіс. Мысалы, Global Research and Analysis Team (GReAT)" Касперский зертханасы " APT Intelligence порталында есептерді үнемі жариялайды.
АҚ инциденттерін қадағалау және статистикасын жүргізу үшін АҚ инциденттеріне ден қою рәсімін әзірлеу, сондай-ақ сараптамалық ақпаратты және бұрын болған АҚ инциденттері туралы есептерді жинақтау және сақтау құралын таңдау қажет. Мұндай ақпарат болашақта АҚ инциденттерін тергеуді жеделдетуге мүмкіндік береді.
БАСТАПҚЫ ЖАУАП БЕРУ ҚҰРАЛДАРЫ
Шабуылдардың көпшілігі жоғарыда аталған kill chain кезеңдерінен өтеді. Сонымен қатар, әр кезеңде зиянды бағдарлама бұзылған машинада ымыраға келу индикаторлары (IOCs) деп аталатын із қалдырады. Инциденттерді тергеу кезінде осындай индикаторларды анықтау, олар сәйкес келетін шабуыл кезеңін анықтау, зиянды БҚ пайдаланған осалдықтарды анықтау және шабуылдың одан әрі дамуына жол бермеу қажет. Бұл ретте басты қиындық әрбір нақты шабуылда пайдаланылатын зиянды БҚ түрін дәл анықтауға мүмкіндік беретін жеткілікті бірегей индикаторларды жинау болып табылады.
Анықтау (Identification) бөлімінде айтылғандай, ымыраға келу индикаторларын жинау-Бұл жиналған индикаторлардың толықтығына сенімді болу үшін бірнеше рет қайталануы керек итерациялық процесс.
Жария ету индикаторларын жинау үшін төменде сипатталған құралдарды пайдалануға болады.
SYSINTERNALS
Sysinternals-бұл Windows операциялық жүйелері басқаратын компьютерлерді басқаруға және бақылауға арналған ақысыз бағдарламалар жиынтығы. Sysinternals Suite пакеті бірнеше ондаған шағын утилиталарды қамтиды. Оқиға туралы бастапқы деректерді жинау үшін Sysinternals утилиталарын пайдалану ұсынылады.
Инциденттерге жауап беру кезінде қолдануға болатын ең маңызды утилиталар төменде қарастырылады.
Құралдарды Microsoft(R) сайтынан сілтеме бойынша жүктеп алуға болады https:technet.microsoft.comen-us sysinternalsdefault.aspx.
PSTools
PSTools-қолданбаларды қашықтан іске қосуға (PSExec), жергілікті немесе қашықтағы компьютердегі процестердің тізімін алуға (PSList), тапсырмаларды мәжбүрлі түрде аяқтауға (Pskill), қызметтерді басқаруға (PSService) арналған пәрмен жолы утилиталарының жиынтығы. Сонымен қатар, PsTools жиынтығы компьютерлерді қайта жүктеуге немесе өшіруге, оқиғалар журналдарының мазмұнын шығаруға және басқаларға арналған қызметтік бағдарламаларды қамтиды.
Process Monitor
Process Monitor-Windows операциялық жүйесінің ортасында әртүрлі процестердің әрекеттерін нақты уақытта бақылауға арналған бағдарлама. Утилита тізілімге, файлдық жүйеге қоңырауларды бақылау мүмкіндіктерін қамтиды және процестердің өзара әрекеттесуі, ресурстарды пайдалану, Желілік белсенділік және енгізу-шығару операциялары туралы қосымша ақпарат алуға мүмкіндік береді.
AVZ
AVZ антивирустық бағдарламасы жүйені зерттеу және қалпына келтіру құралы болып табылады.
4-сурет: AVZ АВТО іске қосу менеджерінің нәтижесі
AVZ утилитасын оқиғаларды тергеу кезінде Жүйе туралы ақпарат алу құралы ретінде пайдалану ұсынылады, өйткені оған жүйені талдайтын келесі Модульдер кіреді:
Процесс менеджері
Қызметтер мен драйверлер менеджері
Ядро кеңістігі модульдері
Winsock SPI менеджері (LSP, NSP, TSP)
Ашық TCPUDP порттары
АВТО бастау менеджері
IE кеңейту менеджері
Explorer кеңейту менеджері
Басқару тақтасының апплет менеджері (CPL)
Басып шығару жүйесін кеңейту менеджері
Тапсырмаларды жоспарлаушы Менеджер (Task Scheduler)
Енгізілген DLL менеджері
Хаттамалар мен өңдеушілер менеджері
Active Setup Менеджері
Хосттар файл менеджері
Жалпы ресурстар мен желілік сессиялар
GMER
Gmer-Microsoft Windows ОЖ-де руткиттерді анықтауға және жоюға арналған бағдарламалық кешен. 32 және 64 биттік ОЖ қолдайды. Утилита компьютерді жасырын процестерге, ағындарға, модульдерге, файлдарға, диск секторларына, тіркеу кілттеріне, орнатылған ядро режимінің тежегіштеріне сканерлеуге мүмкіндік береді.
YARA
YARA-зиянды бағдарламаны зерттеушілерге зиянды тұқымдарды анықтауға және жіктеуге көмектесетін құрал. Утилита зиянды бағдарламалардың әртүрлі түрлеріне арналған ымыраласу индикаторлары бар ресми YARA сипаттамалары негізінде қолтаңбалық талдауды жүзеге асырады. Әрбір сипаттама жолдар жиынтығынан және анализатордың жұмыс логикасы анықталатын кейбір логикалық өрнектен тұрады.
Төменде сипаттаманың мысалы келтірілген, оның негізінде YARA аталған индикаторлардың кез-келгенін (екі hex индикаторы және бір жол) қауіп ретінде анықтайтын объектілерді анықтайды.
Утилита жеке нысандарды да, қалталарды да барлық ішкі қалталармен талдауға мүмкіндік береді және оны берілген YARA сипаттамасына кіретін зиянды бағдарламаны іздеу үшін пайдалануға болады.
ДЕРЕКТЕРДІ ЖИНАУ ҚҰРАЛДАРЫ
Бұл бөлімде жедел жад қоқыстарын және диск кескіндерін жасауға мүмкіндік беретін бағдарламалар сипатталған.
Кескін жазылатын дискінің өлшемі кескін алынған дискінің өлшемінен (немесе жад көлемінен) асып кетуі керек, өйткені қоқысты шығарған кезде бос орын ғана емес, дискінің (жадтың) бүкіл бейнесі сақталады.
GROHE RAPID RESPONSE
GRR-АҚ инциденттеріне жауап беруге арналған шеңбер. GRR-де клиент-сервер архитектурасы жүзеге асырылады, онда агенттер пайдаланушы машиналарына орнатылып, ақпарат жинауға қызмет етеді, ал сервер жиналған ақпаратты сақтауға және талдауға арналған.
5-сурет: GRR бағдарламасының интерфейсі
Негізгі мүмкіндіктері:
RAM және Windows тізілімін қашықтан талдау (Recall көмегімен); қашықтан дискіні талдау (Sleuth Kit көмегімен).
FORENSIC TOOLKIT
Forensic Toolkit (FTK) - компьютерлік криминалистикаға арналған қызметтік бағдарламалар жиынтығы. Ftk пакетіне FTK Imager утилитасы кіреді. FTK Imager қатты дискінің кескінін сақтайды және жад қоқысын алуға мүмкіндік береді.
FTK бірден диск кескінін көрудің бірнеше нұсқасын ұсынады. Мысалы, бағдарлама мәзірінен "электрондық кестелер" тармағын таңдауға болады, ал FTK ұқсас сипаттамасы мен орналасқан жері бар барлық табылған xls файлдарының тізімін көрсетеді. Бағдарламада жария етілетін ақпаратты іздеу жүзеге асырылатын кілт сөздер базасы бар.
BELKASOFT RAM CAPTURER
Belkasoft RAM Capturer компьютердің жедел жадына талдау жасауға көмектесуге арналған. Бағдарлама Windows - тың 32 және 64 биттік нұсқаларында жұмыс істейтін компьютердің жедел жадының қоқысын алып тастауға, оны кейінірек талдау үшін файлға сақтауға мүмкіндік береді.
6-сурет: Belkasoft RAM Capturer бағдарламасының интерфейсі
Belkasoft RAM Capturer жеткізіліміне негізгі режимде жұмыс істейтін және қорғалған процестерге жататын деректер аймақтарын дұрыс өңдеуге мүмкіндік беретін драйверлердің 32 және 64 биттік нұсқалары кіреді. Өнім тегін таратылады.
ЫҚТИМАЛ ҚАУІПТЕРДІ ТАЛДАУ ҚҰРАЛДАРЫ
Қауіптерді зерттеу осы салада көп тәжірибе мен тұрақты тәжірибені қажет етеді. Бастапқы зерттеу үшін төмендегі тізімдегі құралдарды пайдалану ұсынылады, алайда APT-шабуылға күдік туындаған жағдайда қауіп-қатерді зерттеуді тиісті қызметтерді ұсынатын сарапшыларға тапсыру керек.
THREAT LOOKUP - KASPERSKY THREAT INTELLIGENCE PORTAL
Kaspersky Threat Lookup шешімі келесі индикаторлардың әрқайсысы бойынша ақпарат алуға мүмкіндік береді: файл хэштері, URL-мекен-жайы, IP-мекен-жайы, қауіп атауы. Бұл жағдайда іздеу нәтижелері зерттеу объектісінің өзі туралы ақпаратты ғана емес (мысалы, файл өлшемі, whois-URL мекен-жайы туралы ақпарат немесе IP-ге арналған географиялық орын), сонымен қатар байланысты объектілердің сипаттамаларын да қамтиды. Мысалы, файл жүктелген URL мекенжайлары, ол қол жеткізген URL мекенжайлары.
Индикаторлар арасындағы байланыс туралы ақпарат қажет, өйткені әлі белгісіз жаңа зиянды бағдарламалар АҚ-ны қамтамасыз етудің барлық жүйелерімен "таза" болып саналады. Мұндай зиянды бағдарламаны анықтауға болады, өйткені ол зиянды бағдарламаны тарату көздері ретінде белгілі URL мекен-жайларына кіре алады. Бұл осы файлды зерттейтін ақ жауапты қызметкерге файлды мұқият тексеру қажеттілігі туралы сигнал беруі керек.
Сурет 7: threat Lookup шешімінің интерфейсі
SANDBOX - KASPERSKY THREAT INTELLIGENCE PORTAL
Kaspersky Threat Intelligence Portal (TIP) шешімінің бір мүмкіндігі-құм жәшігіндегі нысанды талдау (Sandbox). Қорғалатын ортадағы объектінің іс-әрекетін эмуляциялау нәтижесінде бұрын белгісіз қауіптерді анықтауға, сондай-ақ жария етудің негізгі индикаторларын және талданған объектінің мінез-құлқы туралы егжей-тегжейлі есептерді алуға болады.
Tip Sandbox-та нысанды талдау нәтижелерін алу үшін ол жүктелген сілтемені немесе оның хэш мөлшерін беру керек. Талданған объектінің мінез-құлқы туралы есептерден басқа, TIP Sandbox қолданушыға нысанға қатысты артефактілер жиынтығын, соның ішінде желілік белсенділік туралы ақпараты бар PCAP файлдарын, талданған объект өзгертілген файл нысандарын ұсынады.
ЖАД ҚОҚЫСТАРЫН ТАЛДАУҒА АРНАЛҒАН ҚҰРАЛДАР
Volatility
Volatility Framework-бұл жедел ... жалғасы
Л.Н. Гумилев атындағы Еуразия ұлттық университеті
Тұрсын Дамир Бейбитұлы
Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары
ДИПЛОМДЫҚ ЖҰМЫС
5В100200 - Ақпараттық қауіпсіздік жүйелері мамандығы
Нұр-Сұлтан 2022
Қазақстан Республикасының Білім және Ғылым министрлігі
Л.Н. Гумилев атындағы Еуразия ұлттық университеті
Қорғауға жіберілді
Кафедра меңгерушісі
к.ф.-м.н., Phd, доцент
Д.Ж. Сатыбалдина______________
ДИПЛОМДЫҚ ЖҰМЫС
Тақырыбы: Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары
5В100200 - Ақпараттық қауіпсіздік жүйелері мамандығы
Орындаған: Тұрсын Д.Б.
Ғылыми жетекшісі: Ахметова Ж.Ж.
Нұр-Сұлтан 2022
Мазмұны
Кіріспе
1 Ақпараттық жүйелердің тұрақтылығы
1.1 Ақпараттық жүйелердің тұрақтылығы ұғымы
1.2 Кибершабуылдар түрлері
2. Кибершабуыл жасау себептері
2.1 Ақ инцендентерге назар аудару
2.2 Инциденттерге әрекет ету жөніндегі нұсқаулық және құралдар
3. Ақпараттық жүйелердің тұрақтылығын арттыру тәсілдері
3.1 Қорғаныс жүйесін "Қара" және "Ақ" жәшік әдісі бойынша тестілеу.
3.2 SIEM (Security Information and Event Management) жүйелері
3.3 DLP (Data Loss Prevention) жүйесі
3.4 Ақ оқиғасына жауап беру мысалы
Қорытынды
Қолданылған әдебиеттер
ПРИЛОЖЕНИЕ
Кіріспе
Ақпараттық жүйелердің қауіпсіздігі Ақпараттық жүйелер басшыларының алдында тұрған негізгі мәселелердің бірі болып қала береді. Дәстүрлі алаңдаушылық компьютерлерге және қоймаларға күштеп кіруден бастап өрт, жер сілкінісі, су тасқыны және дауылдың жойылуына дейін. Жақында Ақпараттық жүйелер мен деректерді кездейсоқ немесе қасақана рұқсатсыз кіруден, ашудан, өзгертуден немесе жоюдан қорғауға баса назар аударылды. Бұл оқиғалардың салдары сапаның нашарлауынан немесе клиенттерге қызмет көрсетудің бұзылуынан корпоративтік сәтсіздікке дейін болуы мүмкін. Ақпараттың негізгі қауіпсіздігі, олардың деректері үшін шексіз қауіп-қатердің алдын алу үшін олардың әдістері осы Қағидаларға сәйкес келетіндігін бағалау қажет.
Көптеген шешімдерді қауіпсіздік жүйелері үшін тәуекелдерді жоюға тырысатын бірнеше компания өз ұйымында ақпараттық қауіпсіздік тіректерін бекіту арқылы қолданады, өйткені біздің сандық ғасырда ақпаратқа ие адам билікке ие.
Инцидент туындаған кезде ақ жауапты қызметкерлерден инциденттен болатын залалды барынша азайтуға және зиянкестерді қылмыстық қудалау үшін дәлелдер жинауға мүмкіндік беретін жылдам және нақты қадамдар талап етіледі. Осы қадамдарды қатесіз орындау үшін АҚ сарапшылары жасаған АҚ инциденттеріне әрекет ету жөніндегі нұсқаулықтың болуы қажет. Егер АҚ-ға жауапты бөлімшелердің қызметкерлері туындаған инцидентке қалай әрекет ету керектігін және тергеу жүргізу үшін қажетті деректерді жедел жинауды қалай қамтамасыз етуді білмесе, шабуыл жасаған ұйым айтарлықтай шығындарға ұшырайды. АҚ инциденттеріне әрекет етудегі қателер шабуылдаушының шабуыл мақсаттарына жетуіне әкеледі және оған АЖ-да өзінің болуының іздерін жоюға мүмкіндік береді.
ДОБАВИТЬ ЦЕЛЬ И ЗАДАЧИ ДИПЛОМНОЙ РАБОТЫ
Л.Н.Гумилев атындағы Еуразия ұлттық университеті КеАҚ
Ақпараттық технологиялар факультеті
Ақпараттық қауіпсіздік кафедрасы
Ақпараттық қауіпсіздік жүйелері білім беру бағдарламасы
Бекітемін
Ақпараттық қауіпсіздік
кафедрасының меңгерушісі
ф.-м.ғ.к., профессор
Сатыбалдина Д.Ж.___________
16 01 2022ж.
Дипломдық жұмысты (жобаны) орындауға ТАПСЫРМА
Студент ФИО, 4 курс, АҚЖ-45, Ақпараттық қауіпсіздік жүйелері білім беру бағдарламасы, күндізгі оқу бөлімі
Дипломдық жұмыстың (жобаның): Кибершабуылдар жағдайында ақпараттық жүйелердің тұрақтылығын арттыру жолдары
№ 47-п ректордың бұйрығымен бекітілген 14 01 2022 ж.
Білім алушының аяқталған жұмысты тапсыру мерзімі 17 05 2022 г.
Жұмысқа қажетті бастапқы деректер (заңдар, әдебиет көздері, зертханалық және өндірістік мәліметтер)
Дипломдық жұмыста (жобада) жасалатын тақырыптар тізімі
-Ақпараттық жүйелердің тұрақтылығы
-Кибершабуыл жасау себептері
-Ақпараттық жүйелердің тұрақтылығын арттыру тәсілдері
-Қорытынды
Графикалық материалдар тізбесі (сызбалар, кестелер, диаграммалар және т.б.) 21 сурет
Ұсынылатын негізгі әдебиеттер тізімі
1. Ермаков А.А. Основы надежности информационных систем: учебное пособие. - Иркутск: ИрГУПС, 2006.- 151с.
2. Г. В. Ващенко, Б. С. Добронец Надежность информационных систем:
Лабораторный практикум, 2008. -- 104 с.
3. Монахов, Ю. М.
4. Функциональная устойчивость информационных систем. В 3 ч. Ч. 1. Надежность программного обеспечения : учеб.пособие Ю. М. Монахов ; Владим. гос. ун-т. - Владимир : Издво Владим. гос. ун-та, 2011. - 60 с.
Жұмыс бойынша кеңестер (оларға қатысты жұмыс бөлімдерін көрсете отырып)
Бөлімнің (тараудың) нөмірі, атауы
Ғылыми жетекші, консультант
Тапсырманы алу мерзімі
Тапсырма берілді (қолы)
Тапсырма қабылданды (қолы)
Кіріспе
16.01.2022
Негізгі бөлім
14.02.2022
Практикалық бөлім
21.01.2022
Қорытынды
20.03.2022
Қолданылған әдебиеттер тізімі
26.03.2022
Нормабақылау
Токкулиева А.К.
14.05.2022
Дипломдық жұмысты (жобаны) орындау кестесі
№
Жұмыс кезеңдері
Жұмыс кезеңдерін орындау мерзімдері
Ескерту
1
Дипломдық жұмыстың (жобаның) тақырыбын бекіту
14.01.2022
2
Дипломдық жұмысты (жобаны) дайындау үшін материалдар жинау
16.01.2022
3
Дипломдық жұмыстың (жобаның) теориялық бөлігін дайындау (1-бөлім)
16.02.2022
Практикаға кеткенге дейін
4
Дипломдық жұмыстың (жобаның) талдамалық бөлігін (2-3-бөлімдер) дайындау
27.02.2022
Практика кезінде
5
Дипломдық жұмыстың (жобаның) толық мәтінінің жоба нұсқасын аяқтау
21.03.2022
Практика аяқталғаннан кейінгі бірінші аптада
6
Алдын ала қорғауға дипломдық жұмысты (жобаны) ұсыну
13.04.2022
Шолу дәрістері
(консультациялар) кезінде
7
Дипломдық жұмысты (жобаны) ұсыну рецензияға
14.05.2022
8
Ғылыми жетекшінің пікірімен және рецензиясымен дипломдық жұмыстың (жобаның) түпкілікті нұсқасын ұсыну
25.05.2022
9
Дипломдық жұмысты қорғау (жобаның)
13.06.2022
МАК кестесіне сәйкес
Тапсырманың берілген күні 16 01 2022 ж.
Ғылыми жетекші
қолы, Т. А. Ә., ғылыми атағы, лауазымы
Тапсырманы қабылдады: студент
қолы Т.А.Ә.
Ақпараттық жүйелердің тұрақтылығы
Ақпараттық жүйенің тұрақтылығы
Ақпараттық жүйенің тұрақтылығы деп бастапқы бағдарламалардың қателері, қызметкерлер мен пайдаланушылардың дұрыс емес әрекеттері, бағдарламалық жасақтаманың анықталмаған қателері, жабдықтың істен шығуы және істен шығуы сияқты тұрақсыздық факторларының әсерінен Шығыс реакцияларын спецификацияда белгіленген төзімділік шегінде сақтай отырып, қажетті ақпаратты түрлендіруді жүзеге асыру қасиеті түсініледі. Әдеттегідей, әдеттегі жүйе үшін 99,5% - ға тең сенімділік жеткілікті (әдетте артық компоненттері бар серверлік жүйелер), ал оның бір жылдағы жұмыс уақыты шамамен 43 сағатты құрауы мүмкін. Ақпараттық жүйелердің жоғары әзірлік деңгейі үшін 99,9 % (кластерлік жүйелер, бірақ апаттарға орнықтылық функцияларынсыз) көрсеткіші қажет, бұл жылына 8 сағаттық тоқтап тұруға сәйкес келеді. Сонымен, апатқа төзімді жүйелер үшін өнімділік көрсеткіші 99,9999% құрайды (жылына 32 секундтан аспайды).
Ақпараттық қауіпсіздікті анықтау
Ақпараттық қауіпсіздік стратегиясын жасамас бұрын, қорғаудың белгілі бір әдістері мен әдістерін қолдануға мүмкіндік беретін тұжырымдаманың негізгі анықтамасын қабылдау қажет.
Саланың тәжірибешілері ақпараттық қауіпсіздік деп ақпаратпен байланысты процестердің табиғи және жасанды сипаттағы қасақана немесе байқаусызда болатын әсерлерге тұтастығы мен тұрақтылығын қамтамасыз ететін ақпараттың, оның тасымалдаушыларының және инфрақұрылымының тұрақты қауіпсіздігін түсінуді ұсынады. Әсер ету ақпараттық қатынастар субъектілеріне зиян келтіруі мүмкін АҚ қатерлері түрінде жіктеледі.
Осылайша, ақпаратты қорғау деп нақты немесе болжамды АҚ-қатерлердің алдын алуға, сондай-ақ инциденттердің салдарын жоюға бағытталған құқықтық, әкімшілік, ұйымдастырушылық және техникалық шаралар кешені түсініледі. Ақпаратты қорғау процесінің үздіксіздігі ақпараттық циклдің барлық кезеңдерінде: ақпаратты жинау, сақтау, өңдеу, пайдалану және беру процесінде қауіптермен күресуге кепілдік беруі керек.
Бұл мағынада ақпараттық қауіпсіздік жүйенің жұмыс қабілеттілігінің сипаттамаларының біріне айналады. Уақыттың әр сәтінде жүйе қауіпсіздіктің өлшенетін деңгейіне ие болуы керек және жүйенің қауіпсіздігі жүйенің өмір сүру кезеңіндегі барлық уақыт кезеңдерінде жүзеге асырылатын үздіксіз процесс болуы керек.
АҚ жүйесі
Компания-заңды тұлға үшін ақпараттық қауіпсіздік жүйесі негізгі ұғымдардың үш тобын қамтиды: тұтастық, қол жетімділік және құпиялылық. Әрқайсысының астында көптеген сипаттамалары бар ұғымдар жасырылған.
Тұтастық дегеніміз-дерекқорлардың, басқа ақпараттық массивтердің кездейсоқ немесе қасақана жойылуына, рұқсатсыз өзгерістер енгізуге тұрақтылығы. Тұтастық ұғымын келесідей қарастыруға болады:
статикалық, белгілі бір техникалық тапсырма бойынша құрылған және пайдаланушыларға қажетті конфигурацияда және дәйектілікте негізгі қызмет үшін қажетті ақпарат көлемін қамтитын ақпараттық объектілердің өзгермейтіндігімен, түпнұсқалығымен көрінеді;
динамикалық, күрделі әрекеттердің немесе транзакциялардың дұрыс орындалуын білдіреді, ақпараттың қауіпсіздігіне зиян тигізбейді.
Динамикалық тұтастықты бақылау үшін арнайы техникалық құралдар қолданылады, олар ақпарат ағынын талдайды, мысалы, қаржылық және ұрлық, қайталану, қайта бағыттау, хабарлама тәртібін өзгерту жағдайларын анықтайды. Негізгі сипаттама ретінде тұтастық кіріс немесе қол жетімді ақпарат негізінде әрекет ету туралы шешім қабылданған кезде қажет. Командалардың орналасу тәртібін немесе әрекеттер тізбегін бұзу технологиялық процестерді, бағдарламалық кодтарды сипаттау жағдайында және басқа да ұқсас жағдайларда үлкен зиян келтіруі мүмкін.
Қол жетімділік - бұл уәкілетті субъектілерге олар үшін қызығушылық тудыратын деректерге қол жеткізуге немесе осы мәліметтермен алмасуға мүмкіндік беретін қасиет. Субъектілерді заңдастырудың немесе авторизациялаудың негізгі талабы әр түрлі қол жетімділік деңгейлерін құруға мүмкіндік береді. Жүйенің ақпарат беруден бас тартуы кез-келген ұйым немесе пайдаланушылар тобы үшін проблемаға айналады. Мысал ретінде жүйелік іркіліс жағдайында мемлекеттік қызметтер сайттарының қолжетімсіздігін келтіруге болады, бұл көптеген пайдаланушыларды қажетті қызметтерді немесе мәліметтерді алу мүмкіндігінен айырады.
Конфиденциалдық дегеніміз - ақпараттың пайдаланушыларға қол жетімді болу қасиеті: бастапқыда рұқсат етілген субъектілер мен процестер. Көптеген компаниялар мен ұйымдар құпиялылықты АҚ-ның негізгі элементі ретінде қабылдайды, бірақ іс жүзінде оны толығымен жүзеге асыру қиын. Ақпараттың ағып кету арналары туралы барлық деректер АҚ тұжырымдамаларының авторларына қол жетімді емес және көптеген техникалық қорғау құралдарын, соның ішінде криптографиялық құралдарды еркін сатып алуға болмайды, кейбір жағдайларда айналым шектеулі.
АҚ - ның тең қасиеттері пайдаланушылар үшін әр түрлі мәнге ие, сондықтан деректерді қорғау тұжырымдамаларын жасауда екі экстремалды санат бар. Мемлекеттік құпиямен байланысты компаниялар немесе ұйымдар үшін құпиялылық, мемлекеттік қызметтер немесе білім беру мекемелері үшін ең маңызды параметр - қолжетімділік негізгі параметр болып табылады.
АҚ тұжырымдамаларындағы қорғау объектілері
Тақырыптардағы айырмашылық қорғаныс объектілеріндегі айырмашылықтарды тудырады. Қорғау объектілерінің негізгі топтары:
барлық түрдегі ақпараттық ресурстар (ресурс деп материалдық объект түсініледі: қатқыл диск, өзге тасымалдаушы, оны сәйкестендіруге және субъектілердің белгілі бір тобына жатқызуға көмектесетін деректері мен деректемелері бар құжат);
азаматтардың, ұйымдардың және мемлекеттің ақпаратқа қол жеткізу құқығы, оны заң шеңберінде алу мүмкіндігі; қол жеткізу тек Нормативтік-құқықтық актілермен ғана шектелуі мүмкін, адам құқықтарын бұзатын кез келген кедергілерді ұйымдастыруға жол берілмейді;
деректерді құру, пайдалану және тарату жүйесі (жүйелер мен технологиялар, мұрағаттар, кітапханалар, нормативтік құжаттар);
қоғамдық сананы қалыптастыру жүйесі (БАҚ, интернет-ресурстар, Әлеуметтік институттар, білім беру мекемелері).
Әрбір объект ақ қауіп-қатерінен және қоғамдық тәртіпке қарсы қорғау шараларының ерекше жүйесін көздейді. Әрбір жағдайда ақпараттық қауіпсіздікті қамтамасыз ету объектінің ерекшелігін ескеретін жүйелік тәсілге негізделуі тиіс.
Ақпаратты қорғау құралдары
Ақ-қорғау тұжырымдамаларын әзірлеу мақсатында ақпаратты қорғау құралдары әдетте нормативтік (бейресми) және техникалық (ресми) болып бөлінеді.
Бейресми қорғаныс құралдары - бұл құжаттар, ережелер, іс - шаралар, ресми-бұл арнайы техникалық құралдар мен бағдарламалық жасақтама. Шектеу АҚ-жүйелерін құру кезінде жауапкершілік аймақтарын бөлуге көмектеседі: қорғанысты жалпы басқарумен әкімшілік персонал нормативтік әдістерді, ал IT-мамандар тиісінше техникалық тәсілдерді іске асырады.
Ақпараттық қауіпсіздік негіздері ақпаратты пайдалану бөлігінде ғана емес, сонымен бірге оны қорғаумен жұмыс жасау бөлігінде де өкілеттіктерді бөлуді қамтиды. Өкілеттіктердің мұндай бөлінуі бақылаудың бірнеше деңгейлерін қажет етеді.
Ресми қорғаныс құралдары
АҚ-қорғаудың техникалық құралдарының кең ауқымы мыналарды қамтиды:
Физикалық қорғаныс құралдары. Бұл механикалық, электрлік, электронды механизмдер, олар ақпараттық жүйелерге тәуелсіз жұмыс істейді және оларға қол жеткізуге кедергі келтіреді. Құлыптар, соның ішінде электронды, экрандар, перделер тұрақсыздандыратын факторлардың жүйелермен байланысына кедергі келтіруге арналған. Топ қауіпсіздік жүйелерінің құралдарымен, мысалы, ақпаратты алудың техникалық құралдары, Ендірілген құрылғылар орналасқан аймақта электромагниттік сәулелену деңгейінің қозғалысын немесе артуын анықтайтын бейнекамералармен, бейнетіркегіштермен, датчиктермен толықтырылады.
Аппараттық қорғау құралдары. Бұл электрлік, электронды, оптикалық, лазерлік және ақпараттық және телекоммуникациялық жүйелерге енетін басқа құрылғылар. Аппараттық құралдарды ақпараттық жүйелерге енгізер алдында олардың үйлесімділігіне көз жеткізу қажет.
Бағдарламалық құралдар - бұл АҚ-ны қамтамасыз етумен байланысты жеке және кешенді міндеттерді шешуге арналған қарапайым және жүйелі, кешенді бағдарламалар. DLP жүйелері мен SIEM жүйелері күрделі шешімдердің мысалы болып табылады: біріншісі ақпараттың ағып кетуіне, қайта форматталуына және ақпараттық ағындарды қайта бағыттауға жол бермейді, екіншісі ақпараттық қауіпсіздік саласындағы оқиғалардан қорғауды қамтамасыз етеді. Бағдарламалық жасақтама аппараттық құрылғылардың қуатын талап етеді және орнату кезінде қосымша резервтерді қамтамасыз ету қажет.
Ақпараттық қауіпсіздіктің спецификалық құралдарына дискідегі ақпаратты шифрлауға және сыртқы байланыс арналары арқылы қайта бағыттауға мүмкіндік беретін әртүрлі криптографиялық Алгоритмдер жатады. Ақпаратты түрлендіру корпоративтік ақпараттық жүйелерде жұмыс істейтін бағдарламалық және аппараттық әдістердің көмегімен жүзеге асырылуы мүмкін.
Ақпараттың қауіпсіздігіне кепілдік беретін барлық құралдар ақпараттың құндылығын алдын ала бағалағаннан және оны қорғауға жұмсалған ресурстардың құнымен салыстырғаннан кейін жиынтықта пайдаланылуға тиіс. Сондықтан қаражатты пайдалану туралы ұсыныстар жүйелерді әзірлеу кезеңінде тұжырымдалуы керек, ал бекіту бюджетті бекітуге жауап беретін басқару деңгейінде жасалуы керек.
Қауіпсіздікті қамтамасыз ету мақсатында барлық қазіргі заманғы әзірлемелерге, бағдарламалық және аппараттық қорғау құралдарына, қатерлерге мониторинг жүргізу және санкцияланбаған қол жеткізуден қорғаудың меншікті жүйелеріне уақтылы өзгерістер енгізу қажет. Тек қатерлерге реакцияның барабарлығы мен жеделдігі компания жұмысындағы құпиялылықтың жоғары деңгейіне қол жеткізуге көмектеседі.
Бейресми қорғаныс құралдары
Бейресми қорғаныс құралдары Нормативтік, әкімшілік және моральдық-этикалық болып бөлінеді. Қорғаудың бірінші деңгейінде ұйым қызметіндегі процесс ретінде ақпараттық қауіпсіздікті реттейтін нормативтік құралдар бар.
Нормативтік құралдар
Ақпараттық қауіпсіздікті қамтамасыз ету құралдарының бұл санаты ұйым деңгейінде жұмыс істейтін заңнамалық актілермен және нормативтік-өкімдік құжаттармен ұсынылған.
Әлемдік практикада нормативтік құралдарды әзірлеу кезінде ISOIEC 27000 негізіндегі ақ қорғау стандарттарына бағдарланады. Стандартты екі ұйым құрды:
ISO-халықаралық деңгейде танылған өндіріс және басқару процестерінің сапасын сертификаттау әдістемелерінің көпшілігін әзірлейтін және бекітетін стандарттау жөніндегі халықаралық комиссия;
IEC-АҚ жүйелері, оны қамтамасыз ету құралдары мен әдістері туралы өз түсінігін стандартқа енгізген халықаралық энергетикалық комиссия
ISOIEC 27000-2016 қазіргі нұсқасы АҚ енгізу үшін қажетті дайын стандарттар мен сыналған әдістерді ұсынады. Әдістеме авторларының пікірінше, ақпараттық қауіпсіздіктің негізі әзірлеуден кейінгі бақылауға дейінгі барлық кезеңдерді жүйелі және дәйекті жүзеге асыру болып табылады.
Ақпараттық қауіпсіздікті қамтамасыз ету жөніндегі стандарттарға сәйкестігін растайтын сертификат алу үшін барлық ұсынылған әдістемелерді толық көлемде енгізу қажет. Егер сертификат алудың қажеті болмаса, ISOIEC 27000-2002 немесе ұсынымдық сипаты бар ресейлік ГОСТ-тан бастап Стандарттың кез келген бұрынғы нұсқаларын қабылдауға рұқсат етіледі.
Стандартты зерделеу қорытындысы бойынша ақпарат қауіпсіздігіне қатысты екі құжат әзірленеді. Негізгі, бірақ аз формальды-ұйымның ақпараттық жүйелері үшін АҚ жүйесін енгізу шаралары мен әдістерін анықтайтын кәсіпорынның АҚ тұжырымдамасы. Компанияның барлық қызметкерлері орындауға міндетті екінші құжат - Директорлар кеңесі немесе атқарушы орган деңгейінде бекітілген Ақпараттық қауіпсіздік туралы ереже.
Компания деңгейіндегі ережеден басқа коммерциялық құпияны құрайтын мәліметтердің тізбесі, құпия деректерді жария еткені үшін жауапкершілікті бекітетін еңбек шарттарына қосымшалар, өзге де стандарттар мен әдістемелер әзірленуге тиіс. Ішкі нормалар мен қағидалар іске асыру тетіктері мен жауапкершілік шараларын қамтуға тиіс. Көбінесе шаралар тәртіптік сипатта болады, ал бұзушы коммерциялық құпия режимін бұзудан кейін жұмыстан босатуға дейін елеулі Санкциялар қолданылатынына дайын болуы керек.
Ұйымдастырушылық және әкімшілік шаралар
Ақ қорғау жөніндегі әкімшілік қызмет шеңберінде қауіпсіздік қызметтерінің қызметкерлері үшін шығармашылық мүмкіндіктер ашылады. Бұл келіссөздер бөлмелері мен басшылықтың кабинеттерін тыңдаудан қорғауға және Ақпаратқа қол жеткізудің әртүрлі деңгейлерін орнатуға мүмкіндік беретін сәулет-жоспарлау шешімдері. Компанияның қызметін ISOIEC 27000 стандарттары бойынша сертификаттау, жекелеген аппараттық-бағдарламалық кешендерді сертификаттау, субъектілер мен объектілерді қауіпсіздіктің қажетті талаптарына сәйкестігіне аттестаттау, қорғалған ақпарат массивтерімен жұмыс істеу үшін қажетті лицензиялар алу маңызды ұйымдастырушылық шаралар болады.
Қызметкерлердің қызметін реттеу тұрғысынан Интернетке, сыртқы электрондық поштаға және басқа ресурстарға рұқсат беру сұрауларының жүйесін жобалау маңызды болады. Электрондық пошта арналары арқылы мемлекеттік органдарға берілетін қаржылық және басқа да ақпараттың қауіпсіздігін күшейту үшін электрондық цифрлық қолтаңбаны алу Жекелеген элемент болады.
Моральдық-этикалық шаралар
Моральдық-этикалық шаралар адамның құпия ақпаратқа немесе айналымдағы шектеулі ақпаратқа жеке көзқарасын анықтайды. Компания қызметіне қауіп-қатердің әсері туралы қызметкерлердің білім деңгейін арттыру қызметкерлердің сана-сезімі мен жауапкершілік деңгейіне әсер етеді. Ақпарат режимінің бұзылуымен күресу үшін, мысалы, парольдерді беру, медианы ұқыпсыз пайдалану, жеке әңгімелерде құпия деректерді тарату, қызметкердің жеке санасына баса назар аудару қажет. АҚ корпоративтік жүйесіне қатынасына байланысты болатын персоналдың тиімділік көрсеткіштерін белгілеу пайдалы болады.
Қызметкерлердің қызметін реттеу тұрғысынан Интернетке, сыртқы электрондық поштаға және басқа ресурстарға рұқсат беру сұрауларының жүйесін жобалау маңызды болады. Электрондық пошта арналары арқылы мемлекеттік органдарға берілетін қаржылық және басқа да ақпараттың қауіпсіздігін күшейту үшін электрондық цифрлық қолтаңбаны алу Жекелеген элемент болады.
2) Кибершабуыл жасау
Шабуылдаушыны іс-әрекетке итермелейтін көптеген факторлар бар, және АҚ оқиғасына жауап беретін маман бола отырып, біз көбінесе оны не себеп болғанын білмейсіз, мүмкін біз шабуылдың нақты себебін анықтай алмайсыз. Шабуылдың себебін анықтау, ең жақсы жағдайда, процесс оңай емес және жиі нәтиже бермейді. Кибер барлау шабуылдаушылардың әртүрлі топтары қолданатын тактикаларды, әдістерді, процедуралар мен құралдарды мұқият зерттей отырып, маңызды кеңестер береді, бірақ бұл фрагменттердің болу фактісі жалаулардың лақап аттарымен зұлымдықты, кибер барлау мен жалған ақпаратқа қарсы іс-қимыл шараларын олардың шығу тегін жасыру және жалған жолмен бағыттау үшін қолдануға нақты мүмкіндік береді. Әр шабуылды белгілі бір топқа жатқызу мүмкін болмауы мүмкін, бірақ шабуылдаушылардың жалпы себептерін түсіну АҚ оқиғаларына жауап беретіндерге шабуыл жасаушылардың мінез-құлқын болжауға және шабуылға сәтті қарсы тұруға мүмкіндік беретін қарсы шабуылды жүзеге асыруға көмектеседі. Жалпы алғанда, бұзудың ең көп таралған мақсаттары-барлау(тыңшылық), қаржылық алаяқтық немесе жүйенің бұзылуы. Зиянкестер қаржылық немесе басқа да пайда алу үшін ақпаратқа қол жеткізуге тырысады немесе Ақпараттық жүйелер мен оларды пайдаланатын адамдар мен объектілерге зиян келтіруге тырысады. Ықтимал қарсыластарыңыздың ойлау тәсілін жақсы түсіну үшін біз кибершабуылдарды жасауға итермелейтін әртүрлі себептерді қарастырамыз.
Зияткерлік меншікті ұрлау
Көптеген компаниялар бәсекелестерінен өзгеше болу үшін кейбір ақпаратты пайдаланады. Ноу-хау әр түрлі қолданылады: бұл құпия рецепттер, патенттелген технологиялар немесе белгілі бір компанияға артықшылық беретін кез-келген басқа білім болуы мүмкін. Ақпарат құнды болған кезде, ол кибершабуылдар үшін керемет мақсат болып табылады. Егер шабуылдаушы жеке мемлекет немесе саладағы бәсекелес осы білімді өз мүдделеріне тікелей қолдана алса, зияткерлік меншікті ұрлау өздігінен аяқталуы мүмкін. Сонымен қатар, шабуылдаушы бұл ақпаратты сатуы немесе жәбірленушіден ақшаны оның иелігінде болған кезде құпия ақпаратты таратпаудың орнына қорқытып алуы мүмкін.
Жеткізу тізбегіне шабуыл
Көптеген ұйымдар серіктестік желіні, соның ішінде жеткізушілер мен клиенттерді өздерінің түпкі мақсаттарына жету үшін пайдаланады. Осындай көптеген қатынастармен шабуылдаушыларға мақсатты жүйелерге тікелей шабуыл жасаудың орнына, мақсатты жеткізу тізбегінің орта буындарын таңдау оңайырақ болады. Мысалы, бағдарламалық жасақтама шығаратын компанияға шабуыл жасау және зиянды кодты басқа компаниялар қолданатын өнімдерге енгізу шабуылдаушының бағдарламалық жасақтамасын сенімді көзден алынғандай тиімді механизммен қамтамасыз етеді. NotPetya зиянды бағдарламасын қолдану арқылы жасалған шабуыл бухгалтерлік бағдарламаны жасаушы компанияға нұқсан келтірді. Бұл шабуыл барысында деректерді жою үшін зиянды БҚ-ны клиенттердің жүйелеріне тасымалдауға мүмкіндік беретін бағдарламалық қамтылымды жаңарту функциясы пайдаланылды. Хабарламада айтылғандай, келтірілген шығын сомасы 10 миллиард доллардан асты. Аралық буындарға шабуыл жасаудың тағы бір тәсілі - өндірістік кәсіпорындардың технологиялық жүйелеріне шабуыл жасау, бұл техникалық талаптарға сәйкес келмейтін бөлшектердің пайда болуына әкелуі мүмкін. Егер мұндай өнімдер әскери салаға немесе басқа да маңызды салаларға түссе, бұл апатты бұзылуларға әкелуі мүмкін.
Қаржылық алаяқтық
Ұйымдастырылған кибершабуылдардың алғашқы себептерінің бірі болып табылатын қаржылық алаяқтық бүгінде зиянкестер үшін қозғаушы фактор болып қала береді. Тікелей қаржылық пайдаға қол жеткізудің көптеген тәсілдері бар. Кредиттік карталар туралы ақпаратты ұрлау, онлайн банкингтің есептік деректерін фишинг және банк жүйелерін, оның ішінде банкоматтарды ымыраластыру - осы және басқа да әдістер зиянкестердің қалталарын толықтыру үшін табысты пайдаланылуда. Пайдаланушылардың хабардарлығы мен банктердің жеделдігінің артуы алдыңғы жылдармен салыстырғанда шабуылдардың осы түрін жүзеге асыруды қиындатқанына қарамастан, қаржылық алаяқтық бүгінде сирек емес.
Бопсалау
Біз Зияткерлік меншікті ұрлауға байланысты бопсалау туралы қысқаша айтып өттік, бірақ ол әлдеқайда кең қолданылады. Ықтимал жәбірленушіге зиян келтіруі немесе оны қорлауы мүмкін кез-келген ақпарат ransomware үшін жем болып табылады. Жалпы мысалдар-құрбандардан ақша алу үшін қашықтан қол жеткізу немесе желі арқылы сөйлесу трояндарының күшімен алынған жеке немесе жақын сипаттағы суреттерді пайдалану.
Сонымен қатар, ақпараттық жүйелердің зақымдануы немесе зақымдану қаупі құрбандардан ақшаны бопсалау үшін пайдаланылуы мүмкін, өйткені Бұл онлайн-компанияларға DDoS ("қызмет көрсетуден бас тарту") түріндегі шабуылдарды сатып алу және тарату кезінде жасалады. Бизнес үшін маңызды ақпаратқа қол жетімділікті жоғалтумен байланысты апатты қаржылық шығындарға тап болған көптеген құрбандар шабуылдың салдарынан зардап шекпеу үшін шабуылдаушыларға төлем жасауды жөн көреді.
Тыңшылық
Тыңшылық жеке мемлекеттің немесе компанияның мүдделері болсын, кибершабуылдардың жиі кездесетін себебі болып табылады. Мақсатты ақпарат бұрын талқыланған зияткерлік меншік немесе шабуылдаушыға бәсекелестік немесе стратегиялық артықшылық бере алатын кең жоспар туралы ақпарат болуы мүмкін. Жеке мемлекеттер бір-біріне қарсы кибершабуылдарға үнемі қатысады, бүкіл әлемдегі маңызды жүйелердің мақсатты профильдерін қолдайды, олар ақпарат алу үшін пайдаланылуы мүмкін немесе олардың жұмысында ақаулық тудыруы мүмкін. Мемлекеттің қолдауымен немесе онсыз компаниялар кибер пайдалануды патенттелген технологиялармен, өндіріс әдістерімен, клиенттермен немесе нарықта неғұрлым тиімді бәсекелесуге мүмкіндік беретін басқа ақпаратпен байланысты ақпарат алу тетігі ретінде пайдалануды жалғастыруда. Инсайдерлік қауіптер де бар: мысалы, наразы қызметкерлер бәсекелестеріне сату үшін ішкі ақпаратты жиі ұрлайды немесе жаңа жұмыс іздеуде артықшылық алу үшін пайдаланады.
2.1) Ақ инцендентерге назар аудару
Ақпараттық қауіпсіздік инциденттеріне ден қоюдың негізгі мақсаттары залалды барынша азайту, ақпараттық жүйенің бастапқы күйін мүмкіндігінше қысқа мерзімде қалпына келтіру және болашақта осыған ұқсас оқиғаларды болдырмау жоспарын әзірлеу болып табылады. Бұл мақсаттарға екі негізгі кезеңде қол жеткізіледі: оқиғаны зерттеу және жүйені қалпына келтіру.
Тергеу мыналарды анықтауы керек:
:: бастапқы шабуыл векторы;
:: шабуыл кезінде пайдаланылған зиянды бағдарламалар мен құралдар;
:: шабуыл кезінде қандай жүйелерге әсер етті;
:: шабуылдан келген шығын көлемі;
:: шабуыл аяқталды ма, жоқ па, яғни шабуылдаушы өз мақсатына жетті ме;
:: шабуылдың уақыт шеңбері.
Тергеу аяқталғаннан кейін жүйені қалпына келтіру жоспарын әзірлеу және тергеу нәтижесінде алынған ақпаратты пайдалана отырып енгізу қажет.
ОҚИҒАҒА ЖАСАУ ПРОЦЕСІНІҢ НЕГІЗГІ КЕЗЕҢДЕРІ
Шабуылдың өмірлік циклі туралы ақпарат негізінде (өлтіру тізбегі) қорғаныс жүйесін қалыптастыруға болады. АЖ-ға шабуылда қолданылатын стратегияны талдау негізінде ақпараттық қауіпсіздік мамандары төменде сипатталатын инциденттерге әрекет ету стратегиясын әзірледі.
Дайындық (Preparation)
Ақпараттық қауіпсіздік оқиғасы орын алған сәтте ақпараттық қауіпсіздікке жауапты қызметкерлерден шұғыл және нақты әрекеттер талап етіледі. Сондықтан тиімді жауап беру үшін алдын ала дайындық қажет. Ақпараттық қауіпсіздік қызметкерлері АЖ қорғауды қамтамасыз етуі және пайдаланушыларды, сондай-ақ АТ қызметкерлерін ақпараттық қауіпсіздік шараларының маңыздылығы туралы хабардар етуі тиіс. Ақпараттық қауіпсіздік инциденттеріне әрекет ету персоналы тиісті дайындықтан өтіп, ақпараттық қауіпсіздік инциденттеріне тез және тиімді әрекет ету үшін ақпараттық қауіпсіздік бойынша тренингтерге жүйелі түрде қатысуы керек.
Сәйкестендіру (Identification)
Оқиғаға жауап берушілер әртүрлі ақпараттық қауіпсіздік жүйелерін пайдаланып анықтаған оқиғаның оқиға болып табылатынын немесе емес екенін анықтауы керек. Ол үшін жалпыға қолжетімді есептер, қауіп деректерінің арналары, бағдарламалық құрал үлгілерін статикалық және динамикалық талдауға арналған құралдар және басқа ақпарат көздері пайдаланылуы мүмкін. Статикалық талдау сынақ үлгісін тікелей іске қоспай орындалады және URL мекенжайлары немесе электрондық пошта мекенжайлары бар жолдар сияқты әртүрлі көрсеткіштерді анықтауға мүмкіндік береді. Динамикалық талдау үлгінің әрекетін анықтау және оның жұмысының артефактілерін (IOC) жинау үшін қорғалған ортада (Sandbox) немесе оқшауланған машинада зерттелетін бағдарламаның орындалуын қамтиды.
Компромисс көрсеткіштерін жинау итерациялық процесс болып табылады. SIEM жүйесінен алынған бастапқы ақпарат негізінде анықтау сценарийлері қалыптасады, оларды қолдану, әдетте, ымыраға келудің жаңа көрсеткіштерін анықтауға әкеледі. Осылайша алынған көрсеткіштер шабуылдың шекарасын нақтылауға көмектеседі және жаңа анықтау циклінің бастапқы нүктесі ретінде қызмет етеді. Оқиғаның ақпараттық қауіпсіздік оқиғасы екендігі анықталған жағдайда ғана одан әрі шаралар қабылданады.
Тежеу (Containment)
Ақпараттық қауіпсіздікке жауапты қызметкерлер зақымдалған компьютерлерді анықтауы және инфекция желі бойымен одан әрі таралмайтындай қауіпсіздік ережелерін орнатуы керек. Сонымен қатар, осы кезеңде компанияның АЖ вирус жұқтырған машиналарсыз жұмысын жалғастыра алатындай желіні қайта конфигурациялау қажет.
Жою (Eradication)
Бұл кезеңнің мақсаты бұзылған АЖ-ны инфекцияға дейін болған күйге қайтару болып табылады. Ақпараттық қауіпсіздікке жауапты қызметкерлер зиянды бағдарламаны, сондай-ақ ақпараттық жүйедегі вирус жұққан компьютерлерде қалдыруы мүмкін барлық артефакттарды жояды.
Қалпына келтіру (Recovery)
Бұрын бұзылған компьютерлер желіге қайтарылады. Сонымен бірге, ақпараттық қауіпсіздікке жауапты қызметкерлер қауіптің толығымен жойылғанына көз жеткізу үшін біраз уақыт осы машиналар мен жалпы АЖ жағдайын бақылауды жалғастырады.
Қорытынды (Lessons learned)
Ақпараттық қауіпсіздікке жауапты қызметкерлер оқиғаны талдайды, ақпараттық қауіпсіздікті қамтамасыз ететін бағдарламалық жасақтама мен жабдықтың конфигурациясына қажетті өзгерістерді енгізеді және болашақта осындай оқиғалардың алдын алу мақсатында ұсыныстарды қалыптастырады. Болашақ шабуылдың толық алдын алу мүмкін болмаса, берілген ұсыныстар мұндай оқиғаларға жауап беруді тездетеді.
Қорғау әдістері
Іс жүзінде қорғаныс әдістерінің бірнеше топтары қолданылады, соның ішінде:
физикалық және бағдарламалық құралдармен жасалатын болжамды ұрлаушының жолындағы кедергі;
қорғалатын жүйенің элементтерін басқару немесе оларға әсер ету;
деректерді жасыру немесе түрлендіру, әдетте, криптографиялық тәсілдермен;
нормативтік-құқықтық актілерді және деректер базасымен өзара іс-қимыл жасайтын пайдаланушыларды тиісті мінез-құлыққа итермелеуге бағытталған шаралар жиынтығын реттеу немесе әзірлеу;
мәжбүрлеу немесе пайдаланушы деректерді өңдеу ережелерін сақтауға мәжбүр болатын жағдайларды жасау;
пайдаланушыларды тиісті мінез-құлыққа итермелейтін ынталандыру немесе жағдай жасау.
Ақпаратты қорғау әдістерінің әрқайсысы әртүрлі санаттағы құралдардың көмегімен жүзеге асырылады. Негізгі құралдар - ұйымдастырушылық және техникалық.
Ақпаратты қорғаудың ұйымдастырушылық құралдары
Ақпаратты қорғаудың ұйымдастырушылық құралдарының кешенін әзірлеу қауіпсіздік қызметінің құзыретіне кіруі керек.
Көбінесе қауіпсіздік мамандары:
компьютерлік техникамен және құпия ақпаратпен жұмыс істеу ережелерін белгілейтін ішкі құжаттаманы әзірлейді;
персоналға Нұсқаулық және мерзімді тексерулер жүргізеді; жұмыс бойынша белгілі болған мәліметтерді жария еткені немесе заңсыз пайдаланғаны үшін жауапкершілік көрсетілген еңбек шарттарына қосымша келісімдерге қол қоюға бастамашылық жасайды;
маңызды деректер массивтері қызметкерлердің бірінің иелігінде болған жағдайларды болдырмау үшін жауапкершілік аймақтарын бөліңіз; жұмыс процесінің жалпы бағдарламаларында жұмысты ұйымдастырыңыз және маңызды файлдардың желілік дискілерден тыс жерде сақталуын қамтамасыз етіңіз;
деректерді кез келген пайдаланушының, соның ішінде ұйымның топ-менеджментінің көшіруінен немесе жойылуынан қорғайтын бағдарламалық өнімдерді енгізеді;
олар кез-келген себептер бойынша істен шыққан жағдайда жүйені қалпына келтіру жоспарларын жасайды.
Егер компанияда арнайы АҚ-қызметі болмаса, шығу жолы қауіпсіздік жөніндегі маманды аутсорсингке шақыру болады. Қашықтағы қызметкер компанияның IT-инфрақұрылымын тексеріп, оны сыртқы және ішкі қауіптерден қорғау бойынша ұсыныстар бере алады. Сондай-ақ, АҚ-ға аутсорсинг корпоративтік ақпаратты қорғау үшін арнайы бағдарламаларды пайдалануды қамтиды.
Ақпаратты қорғаудың техникалық құралдары
Ақпаратты қорғаудың техникалық құралдарының тобы аппараттық және бағдарламалық құралдарды біріктіреді. Негізгі:
компьютерлік жүйеде деректердің маңызды массивтерін резервтік көшіру және қашықтан сақтау - тұрақты негізде;
деректерді сақтау үшін маңызды барлық желілік ішкі жүйелерді қайталау және резервтеу;
жеке элементтердің жұмыс қабілеттілігі бұзылған жағдайда желі ресурстарын қайта бөлу мүмкіндігін құру;
резервтік электрмен қоректендіру жүйелерін пайдалану мүмкіндігін қамтамасыз ету;
өрттен немесе жабдықтың сумен зақымдануынан қауіпсіздікті қамтамасыз ету;
деректер базасын және басқа ақпаратты рұқсатсыз кіруден қорғауды қамтамасыз ететін бағдарламалық жасақтаманы орнату.
Техникалық шаралар кешеніне Компьютерлік желілер объектілерінің физикалық қол жетімсіздігін қамтамасыз ету шаралары, мысалы, үй-жайларды камералармен және сигнализациямен жабдықтау сияқты практикалық әдістер кіреді.
Аутентификация и идентификация
Ақпаратқа заңсыз қол жеткізуді болдырмау үшін сәйкестендіру және аутентификация сияқты әдістер қолданылады.
Идентификация -ақпаратпен өзара әрекеттесетін пайдаланушыға өзіңіздің бірегей Атыңызды немесе кескініңізді беру механизмі.
Аутентификация - бұл Пайдаланушының рұқсат етілген жолмен сәйкестігін тексеру тәсілдерінің жүйесі.
Бұл қаражат деректерге рұқсат беруге немесе керісінше тыйым салуға бағытталған. Шынайылық, әдетте, үш жолмен анықталады: бағдарлама, құрылғы, адам. Бұл жағдайда аутентификация объектісі тек адам ғана емес, сонымен қатар техникалық құрал (компьютер, монитор, медиа) немесе деректер болуы мүмкін. Қорғаудың қарапайым әдісі - пароль.
2.2 Инциденттерге әрекет ету жөніндегі нұсқаулық және құралдар
АҚ қатерлеріне тиімді қарсы тұру үшін АЖ-ны барлық деңгейлерде қорғауды қамтамасыз ету ұсынылады. Жұмыс станцияларында Endpoint-антивирустарды орнату ұсынылады. IP желісінде IPS, FireWall, Proxy авторизациясы, анти-APT шешімдері, қауіп-қатер туралы біріктірілген мәліметтер ағыны бар SIEM, желілік тұзақ жүйелері және басқа АҚ жүйелері болуы керек.
АЖ қауіпсіздігін арттыруға сондай-ақ осы компанияның АЖ-не ену тестілерін (penetration testing) жүргізу және АҚ қамтамасыз ететін мамандарды енуді тестілеу бойынша есептермен таныстыру ықпал етеді. Тестілеуді үшінші тарап ұйымдары жүргізе алады, ал есептерден алынған ақпарат Ұйымның АЖ-дағы осалдықтарды анықтауға және жоюға көмектеседі.
АҚ-ға жауапты мамандар әр түрлі тренингтер мен семинарларда өз біліктіліктерін үнемі жетілдіріп отыруы, АҚ-ның соңғы үрдістерін қадағалауы және АҚ саласындағы жаңа бағдарламалық және аппараттық шешімдерден хабардар болуы, сондай-ақ пайда болатын қауіп-қатерлер мен шабуылдардың сценарийлерін қадағалауы тиіс. Мысалы, Global Research and Analysis Team (GReAT)" Касперский зертханасы " APT Intelligence порталында есептерді үнемі жариялайды.
АҚ инциденттерін қадағалау және статистикасын жүргізу үшін АҚ инциденттеріне ден қою рәсімін әзірлеу, сондай-ақ сараптамалық ақпаратты және бұрын болған АҚ инциденттері туралы есептерді жинақтау және сақтау құралын таңдау қажет. Мұндай ақпарат болашақта АҚ инциденттерін тергеуді жеделдетуге мүмкіндік береді.
БАСТАПҚЫ ЖАУАП БЕРУ ҚҰРАЛДАРЫ
Шабуылдардың көпшілігі жоғарыда аталған kill chain кезеңдерінен өтеді. Сонымен қатар, әр кезеңде зиянды бағдарлама бұзылған машинада ымыраға келу индикаторлары (IOCs) деп аталатын із қалдырады. Инциденттерді тергеу кезінде осындай индикаторларды анықтау, олар сәйкес келетін шабуыл кезеңін анықтау, зиянды БҚ пайдаланған осалдықтарды анықтау және шабуылдың одан әрі дамуына жол бермеу қажет. Бұл ретте басты қиындық әрбір нақты шабуылда пайдаланылатын зиянды БҚ түрін дәл анықтауға мүмкіндік беретін жеткілікті бірегей индикаторларды жинау болып табылады.
Анықтау (Identification) бөлімінде айтылғандай, ымыраға келу индикаторларын жинау-Бұл жиналған индикаторлардың толықтығына сенімді болу үшін бірнеше рет қайталануы керек итерациялық процесс.
Жария ету индикаторларын жинау үшін төменде сипатталған құралдарды пайдалануға болады.
SYSINTERNALS
Sysinternals-бұл Windows операциялық жүйелері басқаратын компьютерлерді басқаруға және бақылауға арналған ақысыз бағдарламалар жиынтығы. Sysinternals Suite пакеті бірнеше ондаған шағын утилиталарды қамтиды. Оқиға туралы бастапқы деректерді жинау үшін Sysinternals утилиталарын пайдалану ұсынылады.
Инциденттерге жауап беру кезінде қолдануға болатын ең маңызды утилиталар төменде қарастырылады.
Құралдарды Microsoft(R) сайтынан сілтеме бойынша жүктеп алуға болады https:technet.microsoft.comen-us sysinternalsdefault.aspx.
PSTools
PSTools-қолданбаларды қашықтан іске қосуға (PSExec), жергілікті немесе қашықтағы компьютердегі процестердің тізімін алуға (PSList), тапсырмаларды мәжбүрлі түрде аяқтауға (Pskill), қызметтерді басқаруға (PSService) арналған пәрмен жолы утилиталарының жиынтығы. Сонымен қатар, PsTools жиынтығы компьютерлерді қайта жүктеуге немесе өшіруге, оқиғалар журналдарының мазмұнын шығаруға және басқаларға арналған қызметтік бағдарламаларды қамтиды.
Process Monitor
Process Monitor-Windows операциялық жүйесінің ортасында әртүрлі процестердің әрекеттерін нақты уақытта бақылауға арналған бағдарлама. Утилита тізілімге, файлдық жүйеге қоңырауларды бақылау мүмкіндіктерін қамтиды және процестердің өзара әрекеттесуі, ресурстарды пайдалану, Желілік белсенділік және енгізу-шығару операциялары туралы қосымша ақпарат алуға мүмкіндік береді.
AVZ
AVZ антивирустық бағдарламасы жүйені зерттеу және қалпына келтіру құралы болып табылады.
4-сурет: AVZ АВТО іске қосу менеджерінің нәтижесі
AVZ утилитасын оқиғаларды тергеу кезінде Жүйе туралы ақпарат алу құралы ретінде пайдалану ұсынылады, өйткені оған жүйені талдайтын келесі Модульдер кіреді:
Процесс менеджері
Қызметтер мен драйверлер менеджері
Ядро кеңістігі модульдері
Winsock SPI менеджері (LSP, NSP, TSP)
Ашық TCPUDP порттары
АВТО бастау менеджері
IE кеңейту менеджері
Explorer кеңейту менеджері
Басқару тақтасының апплет менеджері (CPL)
Басып шығару жүйесін кеңейту менеджері
Тапсырмаларды жоспарлаушы Менеджер (Task Scheduler)
Енгізілген DLL менеджері
Хаттамалар мен өңдеушілер менеджері
Active Setup Менеджері
Хосттар файл менеджері
Жалпы ресурстар мен желілік сессиялар
GMER
Gmer-Microsoft Windows ОЖ-де руткиттерді анықтауға және жоюға арналған бағдарламалық кешен. 32 және 64 биттік ОЖ қолдайды. Утилита компьютерді жасырын процестерге, ағындарға, модульдерге, файлдарға, диск секторларына, тіркеу кілттеріне, орнатылған ядро режимінің тежегіштеріне сканерлеуге мүмкіндік береді.
YARA
YARA-зиянды бағдарламаны зерттеушілерге зиянды тұқымдарды анықтауға және жіктеуге көмектесетін құрал. Утилита зиянды бағдарламалардың әртүрлі түрлеріне арналған ымыраласу индикаторлары бар ресми YARA сипаттамалары негізінде қолтаңбалық талдауды жүзеге асырады. Әрбір сипаттама жолдар жиынтығынан және анализатордың жұмыс логикасы анықталатын кейбір логикалық өрнектен тұрады.
Төменде сипаттаманың мысалы келтірілген, оның негізінде YARA аталған индикаторлардың кез-келгенін (екі hex индикаторы және бір жол) қауіп ретінде анықтайтын объектілерді анықтайды.
Утилита жеке нысандарды да, қалталарды да барлық ішкі қалталармен талдауға мүмкіндік береді және оны берілген YARA сипаттамасына кіретін зиянды бағдарламаны іздеу үшін пайдалануға болады.
ДЕРЕКТЕРДІ ЖИНАУ ҚҰРАЛДАРЫ
Бұл бөлімде жедел жад қоқыстарын және диск кескіндерін жасауға мүмкіндік беретін бағдарламалар сипатталған.
Кескін жазылатын дискінің өлшемі кескін алынған дискінің өлшемінен (немесе жад көлемінен) асып кетуі керек, өйткені қоқысты шығарған кезде бос орын ғана емес, дискінің (жадтың) бүкіл бейнесі сақталады.
GROHE RAPID RESPONSE
GRR-АҚ инциденттеріне жауап беруге арналған шеңбер. GRR-де клиент-сервер архитектурасы жүзеге асырылады, онда агенттер пайдаланушы машиналарына орнатылып, ақпарат жинауға қызмет етеді, ал сервер жиналған ақпаратты сақтауға және талдауға арналған.
5-сурет: GRR бағдарламасының интерфейсі
Негізгі мүмкіндіктері:
RAM және Windows тізілімін қашықтан талдау (Recall көмегімен); қашықтан дискіні талдау (Sleuth Kit көмегімен).
FORENSIC TOOLKIT
Forensic Toolkit (FTK) - компьютерлік криминалистикаға арналған қызметтік бағдарламалар жиынтығы. Ftk пакетіне FTK Imager утилитасы кіреді. FTK Imager қатты дискінің кескінін сақтайды және жад қоқысын алуға мүмкіндік береді.
FTK бірден диск кескінін көрудің бірнеше нұсқасын ұсынады. Мысалы, бағдарлама мәзірінен "электрондық кестелер" тармағын таңдауға болады, ал FTK ұқсас сипаттамасы мен орналасқан жері бар барлық табылған xls файлдарының тізімін көрсетеді. Бағдарламада жария етілетін ақпаратты іздеу жүзеге асырылатын кілт сөздер базасы бар.
BELKASOFT RAM CAPTURER
Belkasoft RAM Capturer компьютердің жедел жадына талдау жасауға көмектесуге арналған. Бағдарлама Windows - тың 32 және 64 биттік нұсқаларында жұмыс істейтін компьютердің жедел жадының қоқысын алып тастауға, оны кейінірек талдау үшін файлға сақтауға мүмкіндік береді.
6-сурет: Belkasoft RAM Capturer бағдарламасының интерфейсі
Belkasoft RAM Capturer жеткізіліміне негізгі режимде жұмыс істейтін және қорғалған процестерге жататын деректер аймақтарын дұрыс өңдеуге мүмкіндік беретін драйверлердің 32 және 64 биттік нұсқалары кіреді. Өнім тегін таратылады.
ЫҚТИМАЛ ҚАУІПТЕРДІ ТАЛДАУ ҚҰРАЛДАРЫ
Қауіптерді зерттеу осы салада көп тәжірибе мен тұрақты тәжірибені қажет етеді. Бастапқы зерттеу үшін төмендегі тізімдегі құралдарды пайдалану ұсынылады, алайда APT-шабуылға күдік туындаған жағдайда қауіп-қатерді зерттеуді тиісті қызметтерді ұсынатын сарапшыларға тапсыру керек.
THREAT LOOKUP - KASPERSKY THREAT INTELLIGENCE PORTAL
Kaspersky Threat Lookup шешімі келесі индикаторлардың әрқайсысы бойынша ақпарат алуға мүмкіндік береді: файл хэштері, URL-мекен-жайы, IP-мекен-жайы, қауіп атауы. Бұл жағдайда іздеу нәтижелері зерттеу объектісінің өзі туралы ақпаратты ғана емес (мысалы, файл өлшемі, whois-URL мекен-жайы туралы ақпарат немесе IP-ге арналған географиялық орын), сонымен қатар байланысты объектілердің сипаттамаларын да қамтиды. Мысалы, файл жүктелген URL мекенжайлары, ол қол жеткізген URL мекенжайлары.
Индикаторлар арасындағы байланыс туралы ақпарат қажет, өйткені әлі белгісіз жаңа зиянды бағдарламалар АҚ-ны қамтамасыз етудің барлық жүйелерімен "таза" болып саналады. Мұндай зиянды бағдарламаны анықтауға болады, өйткені ол зиянды бағдарламаны тарату көздері ретінде белгілі URL мекен-жайларына кіре алады. Бұл осы файлды зерттейтін ақ жауапты қызметкерге файлды мұқият тексеру қажеттілігі туралы сигнал беруі керек.
Сурет 7: threat Lookup шешімінің интерфейсі
SANDBOX - KASPERSKY THREAT INTELLIGENCE PORTAL
Kaspersky Threat Intelligence Portal (TIP) шешімінің бір мүмкіндігі-құм жәшігіндегі нысанды талдау (Sandbox). Қорғалатын ортадағы объектінің іс-әрекетін эмуляциялау нәтижесінде бұрын белгісіз қауіптерді анықтауға, сондай-ақ жария етудің негізгі индикаторларын және талданған объектінің мінез-құлқы туралы егжей-тегжейлі есептерді алуға болады.
Tip Sandbox-та нысанды талдау нәтижелерін алу үшін ол жүктелген сілтемені немесе оның хэш мөлшерін беру керек. Талданған объектінің мінез-құлқы туралы есептерден басқа, TIP Sandbox қолданушыға нысанға қатысты артефактілер жиынтығын, соның ішінде желілік белсенділік туралы ақпараты бар PCAP файлдарын, талданған объект өзгертілген файл нысандарын ұсынады.
ЖАД ҚОҚЫСТАРЫН ТАЛДАУҒА АРНАЛҒАН ҚҰРАЛДАР
Volatility
Volatility Framework-бұл жедел ... жалғасы
Ұқсас жұмыстар
Пәндер
- Іс жүргізу
- Автоматтандыру, Техника
- Алғашқы әскери дайындық
- Астрономия
- Ауыл шаруашылығы
- Банк ісі
- Бизнесті бағалау
- Биология
- Бухгалтерлік іс
- Валеология
- Ветеринария
- География
- Геология, Геофизика, Геодезия
- Дін
- Ет, сүт, шарап өнімдері
- Жалпы тарих
- Жер кадастрі, Жылжымайтын мүлік
- Журналистика
- Информатика
- Кеден ісі
- Маркетинг
- Математика, Геометрия
- Медицина
- Мемлекеттік басқару
- Менеджмент
- Мұнай, Газ
- Мұрағат ісі
- Мәдениеттану
- ОБЖ (Основы безопасности жизнедеятельности)
- Педагогика
- Полиграфия
- Психология
- Салық
- Саясаттану
- Сақтандыру
- Сертификаттау, стандарттау
- Социология, Демография
- Спорт
- Статистика
- Тілтану, Филология
- Тарихи тұлғалар
- Тау-кен ісі
- Транспорт
- Туризм
- Физика
- Философия
- Халықаралық қатынастар
- Химия
- Экология, Қоршаған ортаны қорғау
- Экономика
- Экономикалық география
- Электротехника
- Қазақстан тарихы
- Қаржы
- Құрылыс
- Құқық, Криминалистика
- Әдебиет
- Өнер, музыка
- Өнеркәсіп, Өндіріс
Қазақ тілінде жазылған рефераттар, курстық жұмыстар, дипломдық жұмыстар бойынша біздің қор #1 болып табылады.
Ақпарат
Қосымша
Email: info@stud.kz