CC BY
176
УДК 004.056
АЛГОРИТМ ИДЕНТИФИКАЦИИ ИСТОЧНИКОВ УГРОЗ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ ОТКРЫТЫХ ДАННЫХ
СЕТИ ИНТЕРНЕТ
Д.О. Маркин, С.М. Макеев, Р.О. Голенков
В работе проведен анализ условий функционирования, описана система управления инцидентами информационной безопасности и модуль идентификации нарушителей информационной безопасности. Предложен новый подход по повышению эффективности идентификации источников угроз ИБ за счет извлечения данных из открытых источников сети Интернет и их последующего анализа. Обоснован состав прикладного программного обеспечения разрабатываемой системы, ее структурная и функциональная схема. Разработаны алгоритмы извлечения и анализа данных из заданных источников.
Ключевые слова: идентификация источников угроз, управление инцидентами, анализ данных, информационная безопасность.
Введение. Стабильная и надежная работа информационных систем (ИС) невозможна без повышенного внимания к системе информационной безопасности (ИБ), нарушение в работе которой может оказывать прямое или косвенное негативное воздействие на деятельность предприятия. Защищенность от угроз ИБ напрямую зависит от эффективности системы управления инцидентами информационной безопасности (СУИИБ) по обработке инцидентов [1]. Одной из задач СУИИБ является идентификация вероятного или же действующего нарушителя (источника угроз). Как правило, такая проблема связана с нехваткой, недостоверностью и противоречивостью исходных данных, на основе которых возможна реализация процедуры идентификации нарушителя (угрозы). Поэтому разработка средства извлечения, обработки и анализа информации из дополнительных источников данных, обеспечивающего повышение вероятности идентификации угроз ИБ ИС, является актуальной задачей, решение которой позволит СУИИБ функционировать более эффективно.
В данном направлении исследований, а именно, в области изучения СУИИБ в отечественных и зарубежных научных трудах, существенные результаты получены под руководством Котенко И.В., Саенко И. Б., Кузнецова А. В., Федорова А. Ю., Рыженко-вой А. Исследования методов выявления зависимостей между событиями при построении систем управления инцидентами безопасности проводились под руководством Ка-расева С. В., Рыболовлева Д. А., Веряева А. С. Исследования проблем защиты информации, в том числе, и проблем анализа защищенности информации проводились под руководством Ломако А. Г., Молдавяна А. А., Стародубцева Ю. И., Окова И. Н, Остапенко А. Г., Шелупанова А. А., однако, вопросы состава и оптимизации работы СУИИБ в части, касающейся повышения вероятности идентификации источников угроз ИБ, рассмотрены недостаточно полно.
Цель исследования заключается в повышении вероятности идентификации источников угроз ИБ ИС. Решение задачи эффективной идентификация источников угроз ИБ обуславливает необходимость разработки новых технических решений, способных повысить качество идентификационных данных о потенциальных нарушителях (источниках угроз) ИБ. В качестве такого технического решения может выступать комплекс программных средств сбора и анализа данных о пользователях ИС из открытых источников сети Интернет.
Место разрабатываемого средства в общей иерархической структуре обеспечения информационной безопасности представлено на рис. 1.
231
Рис. 1. Место разрабатываемого средства в обеспечении ИБ
Наиболее известными СУИИБ (SIEM) среди отечественных являются:Мах Patrol SIEM (компания «Positive Technologies»), КОМРАД (НПО «Эшелон»), Ankey SIEM («Газинформсервис»), RuSIEM («РУСИЕМ»), СёрчИнформ SIEM, среди иностранных -НРЕ ArcSight ESM (компания «Hewlett-Packard»), IBM Security QRadar SIEM (компания «IBM»), McAfee Enterprise Security Manager (компания «McAfee»), RSA Security Analytics (компания«КорпорацияEMC»), Splunk Enterprise (компания «Splunk Inc.»), Trust-wave SIEM Enterprise (компания«Trustwave»).
Современные ИС предлагают пользователям с целью повышения эргономики и эффективности системы идентификации и аутентификации, воспользоваться существующими учетными записями (аккаунтами) в социальных сетях и иных похожих сервисов. Сведения из таких информационных ресурсов, связанных с данными учетными записями, как правило, общедоступны, что дает возможность получить о пользователе дополнительную информацию, которая может быть полезной и помочь при расследовании инцидентов, связанных с нарушением ИБ ИС. Например, сбор статистических сведений о местоположении пользователя по геолокационным меткам, размещенным на его странице, позволит с определённой вероятностью, при наличии противоречивых сведений, установить его фактическое местоположение с точностью до города, при наличии более подробной информации - до улицы.
Источники как случайных, так и преднамеренных угроз должны быть идентифицированы, а вероятность их реализации оценена согласно ГОСТ Р ИСО/МЭК ТО 13335-3-2007.
Классификация веб-сервисов
№ п\п Категория веб-ресурса Название Средства доступа к геоинформации Вид геоинфор-мации и степень ее детализации
1 Социальные сети ВКонтакте API Страна, город
2 Одноклассники API Страна, город
4 Facebook API Страна, город
5 Чаты Telegram API Страна
6 WhatsApp API -
7 Сайты знакомств Mamba API Страна, город
8 LovePlanet Открытое API отсутствует Страна, город
9 Badoo API Страна, город
Анализ веб-ресурсов, относящихся к классу социальных сетей, чатов, сайтов знакомств [15], показал, что их особенностью является наличие требований на размещение о себе достоверных данных, таких как: имя и фамилия, город, фотографии, геолокационные данные и многое другое, что может дать информацию о пользователе, по которой будет возможно его идентифицировать. Данную информацию можно использовать для получения вероятностной оценки действительного местонахождения пользователя. Результаты анализа средств доступа к открытым данным таких ресурсов представлен в таблице.
Рис. 2. Структурная схема системы идентификации угроз ИБ ИС
1. Постановка задачи на разработку алгоритма. Для решения задачи идентификации источников угроз ИБ ИС, основанной на извлечении и анализе открытых данных сети Интернет, необходимо разработать комплекс алгоритмов и приложение идентификации источников угроз представленного совокупностью программных модулей, объединенных в единую систему, выполняющую следующие функции:
получение исходной идентификационной информации об источнике угрозы в виде id-профиля в «ВКонтакте»;
обеспечение взаимодействия с API-серверами служб: «ВКонтакте», «Google», «Dadata»;
извлечение идентификационных данных об источнике угроз;
помещение извлеченных сведений в единую БД;
анализ идентификационной информации и составление мета-профиля нарушителя;
вывод графического отчета по результатам анализа источника угрозы.
Разработанная система позволить повысить эффективность процесса расследования инцидентов информационной безопасности.
2. Структурная схема системы идентификации источников угроз. Схема размещения элементов системы идентификации угроз информационной безопасности на основе открытых данных, извлекаемых из социальной сети «ВКонтакте» представлена на рис. 2.
Основными структурными элементами системы идентификации источников угроз являются:
1) модуль расширения для веб-клиентов (браузеров) пользователей ИС;
2) веб-приложение, в состав которого входят:
модуль веб-приложения СУИИБ, обеспечивающий взаимодействие с АР1-серверами служб, представляющих доступ к открытым данным и передачи на сервер БД, хранящей исходные идентификационные данные об угрозах;
модуль веб-приложения СУИС, обеспечивающий функционирование аналитической подсистемы.
На рис. 3, представлена схема взаимодействия с АР1-сервером ^-расширения для браузера, установленного на стороне клиента ИС.
Рис. 3. Структурная схема взаимодействия 1Б-расширения для браузера
с АР1-сервером «ВКонтакте»
Рис.4 наглядно демонстрирует схему аналогичного взаимодействия, но уже для веб-приложения идентификации угрозы ИБ ИС.
Рис. 4. Структурная схема взаимодействия веб-приложения идентификации угроз
ИБ ИС с АР1-сервером «ВКонтакте»
3. Функциональная схема системы идентификации источников угроз.
Функциональная схема системы идентификации угроз ИБ ИС, функционирующей на базе комплекса приложений, осуществляющих сбор и анализ открытых данных сети Интернет, представлена на рис. 5.
Рис. 5. Функциональная схема системы идентификации угроз ИБ ИС
4. Алгоритм идентификации источников угроз. На рис. 6 представлена блок-схема общего алгоритма функционирования системы идентификации источников угроз ИБ ИС на основе открытых данных сети Интернет. Она содержит три основных блока: А1, А2, А3, каждый из которых отвечает за функционирование соответствующих элементов системы. Блок А1 - работа расширения по извлечению ГО-идентификатора, блок А2 - сбор данных об угрозе из «ВКонтакте», блок А3 - выполнение идентификации угрозы. Алгоритмы функционирования каждого элемента, представлены в приложении [14].
Рис. б.Блок-схема общего алгоритма функционирования системы идентификации источников угроз ИБ ИС на основе открытых данных сети Интернет
4.1. Алгоритм функционирования модуля расширения веб-клиента. На
рис.7 представлена блок-схема алгоритма функционирования модуля расширения для веб-клиентов (браузеров) пользователей ИС. Расширение разработано для веб-обозревателя «GoogleChrome». При запуске оно автоматически выполнит проверку
cookies-файлов веб-браузера, хранящих информацию необходимую для работы с веб-службой «ВКонтакте». Если пользователь, использовал данный браузер для обращения к социальной сети «ВКонтакте», то ID его профиля, будут извлечены из cookies. Извлечение ID-профиля реализовано на языке JScript.
¡Вьвод сообщения об ошибке: / 'Отсутствует авторизация в "ВКонтакте"!
Рис. 7. Блок-схема алгоритма функционирования модуля расширения для веб-клиентов (браузеров) пользователей ИС
Если пользователь не использовал данный веб-обозреватель для работы с «ВКонтакте», то получить его ID-идентификатор не удастся, так как необходимые cookies-файлы не будут сохранены браузером. Если получение данных из cookies произведено успешно, то выполняется процедура запроса у сервера FKAP/первоначальных идентификационных сведений о владельце профиля. Если профиль пользователя скрыт, то выполнить успешно процедуру получения имени, фамилии и города не получится. О чем будет проинформирован администратор системы идентификации угроз ИБ ИС сообщением об ошибке.
4.2. Алгоритм работы модуля сбора данных об угрозе ИБ ИС на основе открытых данных социальной сети «ВКонтакте» Веб-модуль сбора данных об угрозах ИБ ИС из социальной сети «ВКонтакте» в общей структуре системы идентификации угроз выступаем в качестве серверной части и предназначен для приема, обработки ID-профиля от модуля расширения и выполнения процедуры сбора исходных идентификационных сведений о владельце профиля с последующим сохранением их в БД.
Веб-модуль начинает функционировать при получении от пользовательского узла - расширения, установленного на веб-обозревателе клиента ИС, первичного ID-идентификатора, и инициализации такого параметра как user id.Работа с серверной частью системы идентификации угроз ИБ осуществляется через графический интерфейс, который относится к веб-модулю идентификации угроз, и для взаимодействия с сервером создает Ьйрсоединение, где модуль идентификации выступает в качестве клиента.
236
4.3. Алгоритм функционирования веб-модуля идентификации источников угроз информационной безопасности информационных систем на основе открытых данных сети Интернет. Программный модуль идентификации угроз ИБ ИСпри-ставлен веб-интерфейсом, на котором размещены элементы управления модулем и полем вывода графического отчета по результатам идентификации. Все операции по анализу собранных данных осуществляются модулем идентификации, на основе специально созданных методов. Блок-схема алгоритма представлена на рис. 8.
Блок метода friends Birth Years, который представлен ниже, выполняет расчет среднего возраста друзей объекта идентификации, тем самым позволяет понять примерный возраст владельца проверяемого профиля, если он не указан самим пользователем или если он скрыт. А также позволяет проверить соответствует ли действительности, тот возраст, который указан в профиле, сравнив с тем, что было получено в результате расчета.
Ввод значения Id-профиля или выбор из имеющихся в БД
Сбор статистки по городам указанным в группах, в которых состоит пользователь и подсчет соотношения по каждому городу
Сбор геоинформации из постов размещенных на стене пользователя
Сбор статистики по датам рождения друзей пользователя и подсчет среднего возраста для сравнения с датой указанной польщователм
Рис. 8. Блок-схема алгоритма работы модуля идентификации источников угроз
информационной безопасности
Получение и анализ геоинформации из списка групп основывается на использовании автоматического сервиса проверки и исправления контактных данных (ФИО, адресов, телефонов, email, паспортов) Dadata.ru [13]. Для получения названия города (населенного пункта) на основе списка групп пользователя, проводится анализ их названия, в контексте которого, очень часто, указывается наименование населенного
237
пункта. Для правильно вычленения из названия группы геоинформаци используется сервис«Ваёа1а», который проводит автоматическую проверку. В случае успешного завершения такой проверки, «БаёаТа» возвращает корректную геоинформацию, которая заносится в мета-профиль нарушителя.
Метэ профиль угрозы
^лемтнфикБ-|-я угроз информационной безопасности госудэрственнь ■ информзциеннь систем
Рис. 9. Веб-интерфейс модуля идентификации угроз ИБ ИС
Метод friends Cities отвечает за статистический анализ списка городов, составленного на основе друзей объекта идентификации. Метод рассчитывает частоту встречаемости каждого города, на основании чего можно сделать вывод в каком городе, скорее всего, находится пользователь. Либо проверить на соответствие город, что указал сам пользователь в своем профиле, с тем, что удалось получить в результате проверки. Код метода представлен ниже.
Метод post Markers осуществляет вывод полученных геопозиций пользователя на карту«Ооо§1еМар». Для использования такой карты необходимо зарегистрировать разработанное приложение и получить соответствующий токен доступа. Ниже представлен код данного метода.
Графический интерфейс модуля идентификации угроз ИБ ИС представлен на
рис. 9.
Все значения, которые возвращают данные методы, формируются в виде графического отчета - мета-профиля источника угрозы ИБ ИС. Для получения графических элементов и наполнения их данных, полученными в процессе идентификации, используется библиотека «Chart.JS». Пример отчета представлен на рис. 10.
238
Рис. 10. Общая схема проверки работоспособности системы идентификации угроз
ИБ ИС.
5. Оценка эффективности функционирования системы идентификации источников угроз ИБ ИС на основе открытых данных сети Интернет. СУИИБ как и всякое информационное устройство работает по схеме представленной на рис. 11. На вход СУИИБ подается совокупность сообщений х^ х2, ......, хп от различных источников информации. Задача СУИИБ состоит в том, чтобы передать эту совокупность с достаточно высокой достоверностью или, иными словами, чтобы перевести вектор сообщений на входе X(х1, х2, ......, хп ) в соответствующий ему вектор сообщений на
выходе У( у1, У2, —, Уп ), которой представляет собой обобщённый отчет о состоянии
безопасности защищаемой системы или же набор рекомендаций по управлению компонентами обеспечивающими защиту.
XI Х2
Хп
У1 У2
Уп
Рис. 11. Представление СУИИБ в виде информационного устройства
Эффективность работы СУИИБ зависит от количества и качества поступающей на вход информации. Таким образом, увеличивая количество источников информации, в роли которых выступают различные средства контроля и мониторинга, набор исходных данных обрабатываемых СУИИБ увеличивается, тем самым увеличивая вероятность обеспечения полноты информации на выходе.
Если рассматривать вероятность обеспечения полноты информации при решении задачи идентификации угроз ИБ ИС, с учетом наличия дополнительного источника идентификационных сведений и без него то, получим следующие выражения:
239
р _ I(х1,х2, ......,хт)
Робесп.полн.инф. _ Т/ ч, где п ® max, I(х1, х2, ......, хп )
Р ^ , _ 1 (х1,х2, ......,хт,хт+1) где п ® т
сист.обесп. полн.инф. ч ,1де"^пшл.
I(х1, ^ ......, хп )
Исходя из этого, очевидно, что
Робесп. полн. инф. > Робесп. полн. инф.
Таким образом, повышение количества идентификационной информации, увеличит вероятность обеспечения полноты идентификационной информации и, следовательно, вероятность успешной идентификации угроз ИБ ИС, а это, в свою очередь, повысит эффективность функционирования СУИИБ.
Заключение. В процессе выполнения работы был проведен сравнительный анализ наиболее популярных в настоящее время СУИИБ. В результате чего, была выявлена целесообразность внедрения дополнительного средства, позволяющего повысить эффективность обнаружения и реагирования на инциденты ИБ, посредством идентификации источников угроз ИБ ИС с использование открытых сведений сети Интернет. А подробный анализ таких открытых источников, вывил, тот факт, что использование социальной сети «ВКонтакте», позволит получать наиболее полную исходную идентификационную информацию, для дальнейшего анализа.
Поставлена задача на разработку алгоритмов и комплекса программных средств идентификации угроз ИБ ИС на основе открытых данных сети Интернет. Так как, в результате применения автоматизированного подхода идентификации, существенно снизятся временные затраты на поиск и обработку данных об источниках угроз, которые стали причинами возникновения инцидентов ИБ ИС, а также увеличить количество источников информации используемых СУИИБ в процессе обработки инцидентов, что повысит эффективность ее работы.
Обоснован выбор состава прикладного программного обеспечения системы идентификации источников угроз ИБ ИС на основе открытых данных сети Интернет, языков программирования и средств разработки на данных языках для приложений и БД с указанием их достоинств и недостатков
Разработана БД, структурная и функциональная схема системы идентификации источников угроз ИБ ИС на основе открытых данных сети Интернет. Приведено описание алгоритмов функционирования элементов входящих в состав системы, а именно программного модуля - расширения для веб-клиентов (браузеров) пользователей ИС, веб-модуля сбора данных об угрозе информационной безопасности ИС из «ВКонтак-те», веб-модуля идентификации угроз ИБ ИС на основе открытых данных сети Интернет.
На основании разработанных алгоритмов построен комплекс программных средств, состоящий из вышеперечисленных элементов, осуществляющий идентификацию источников угроз ИБ ИСс использованием открытых данных социальной сети «ВКонтакте».
Проведен эксперимент по проведению процедуры идентификации в условиях наличия и отсутствия подключения к сети Интернет, а также с использованием и без использования компоненты расширения для веб-клиента ИС (веб-браузера). На основании этого было выявлено, что использование системы идентификации без подключения к сети Интернет, возможно только в том случае, если БД хранит накопленные идентификационные сведения о требуемом объекте анализа.
Список литературы
1. Котенко И.В. БШМ-системы для управления информацией и событиями безопасности / И. В. Котенко, И. Б. Саенко // Защита информации. Инсайд, 2012. № 5. С. 54-65.
2. Cichonski P. Computer Security Incident Handling Guide / P. Cichon-ski, T. Millar, T. Grance, K. Scarfone. NIST Special Publication 800-61 Revision 2, 2012. 79 p.
3. Рыженкова А. Управление инцидентами информационной безопасности: о чем говорят стандарты // Connect. Мир информационных технологий, 2014. № 7-8. С. 62-65.
4. Управление информационной безопасностью: монография / А.И. Козачок, В.В. Комашинский, А.А. Юркин и др. Орёл: Академия ФСО России, 2013. 328 с.
5. Кузнецов А.В. Современные тенденции развития SIEM-решений / А.В. Кузнецов, А.Ю. Федоров // Storage News, 2013. № 2 (54). С. 8-11.
6. Miller, D. R. Security Information and Event Management (SIEM) Implementation / D. R. Miller, S. Harris at el. N.Y.: McGraw-Hill, 2011. 430 p.
7. Zope, A. R. Data mining approach in security information and event management / A. Vidhate, N. Harale // J. Future Comput. Commun, 2013. Vol. 2. № 2. P. 80-84.
8. Карасев С.В. Применение методов выявления зависимостей между событиями при построении систем управления инцидентами безопасности / С.В. Карасев, Д.А. Рыболовлев // Информатика: проблемы, методология, технологии : материалы межд. науч. конф. (11-12 февр. 2016 г., Воронеж). Воронеж, 2016. Секция № 3. С. 154-156.
9. Grimaila M.R. Design and Analysis of a Dynamically Configured Log-based Distributed Security Event Detection Methodology / Michael R. Grimaila. Journal of Defense Modeling and Simulation: Applications, Methodology, Technology, 2011. Vol. 9 (3).
10. Анализ угроз веб-приложений [Электронный ресурс] / InfoSecurity // www.infosecurity.ru. Электрон. дан. 2005-2011. Режим доступа :URLhttp://wWW.iníosecurity.ru/page_info_web. (дата обращения: 22.05.2017).
11. Сравнительный анализ SIEM по исследованиям Gartner [Электронный ресурс] / Gartner // www.gartner.com. Электрон. дан. 2018. Режим доступа: URL:https://www.gartner.com/doc/3811368?ref=SiteSearch&sthkw=siem&fnl=search&srcId =1-3478922254. (дата обращения: 13.04.2018).
12. Котенко И.В. Применение технологии управления информацией и событиями безопасности для защиты информации в критически важных инфраструктурах / И.В. Котенко, И.Б. Саенко, О.В. Полубелова, А.А. Чечулин // Труды СПИИРАН, 2012. Вып. 20. С. 27-56.
13. Система автоматического исправления ошибок в адресах, ФИО и телефонах [Электронный ресурс] / Dadata // www.dadata.ru. Электрон. дан. 2018. Режим доступа: URL: https://dadata.ru/(дата обращения: 12.06.2018).
14. Автоматизированная система идентификации источников угроз информационной безопасности на основе открытых данных сети Интернет: свидетельство о государственной регистрации программы для ЭВМ № 2017618056 Российская Федерация / Д.О. Маркин, Н.И. Биркун, А.В. Кирьянов, Р.О. Голенков; авторы и правообладатели Д. О. Маркин, Н. И. Биркун, А. В. Кирьянов, Р. О. Голенков. № 2018612593; за-явл. 19.03.2018; зарегистрировано в Реестре программ для ЭВМ 08.08.2018 г.
15. Маркин Д.О. Система идентификации источников угроз информационной безопасности веб-ресурсов на основе открытых данных сети Интернет // Д.О. Маркин, Р.О. Голенков, С.М. Макеев // Информационная безопасность и защита персональных данных. Проблемы и пути их решения: материалы X Межрегиональной научно-практической конференции [Электронный ресурс] / под ред. О. М. Голембиовской. Брянск: БГТУ, 2018. С. 93-98.
Маркин Дмитрий Олегович, канд. техн. наук, сотрудник, adminanikitka. net, Россия, Орёл, Академия ФСО России,
Макеев Сергей Михайлович, канд. техн. наук, сотрудник, maksm5 7@yandex. ru, Россия, Орёл, Академия ФСО России,
Голенков Родион Олегович, сотрудник, supermail 2015@ mail.ru, Россия, Орёл, Академия ФСО России
INFORMATION SECURITY THREATS SOURCES IDENTIFICATION ALGORITHM BASED
ON INTERNET OPEN DATA
D.O. Markin, S.M. Makeev, R.O. Golenkov
The paper analyzes the operating conditions, describes the information security incident management system and the module for identifying information security violators. A new approach is proposed to improve the efficiency of identifying sources of information security threats by extracting data from open sources on the Internet and their subsequent analysis. The structure of the applied software of the developed system, its structural and functional scheme is substantiated. Algorithms for extracting and analyzing data from specified sources have been developed.
Key words: information security threats sources identification, security information and event management, data analysis information security.
Markin Dmitry Olegovich, candidate of technical science, employee, ad-minanikitka. net, Russia, Orel, The Academy of Federal Security Guard Service of the Russian Federation,
Makeev Sergey Mihaylovich, candidate of technical science, employee, maksm5 7@yandex. ru, Russia, Orel, The Academy of Federal Security Guard Service of the Russian Federation,
Golenkov Rodion Olegovich, employee, supermail_2015@,mail.ru, Russia, Orel, The Academy of Federal Security Guard Service of the Russian Federation
