CC BY
29УДК 004.738
АНАЛИЗ КИБЕРУГРОЗ И ИХ ИСТОЧНИКОВ ДЛЯ КОРПОРАТИВНОЙ СЕТИ КРАСНОЯРСКОГО НАУЧНОГО ЦЕНТРА СО РАН Исаев Сергей Владиславович
к.т.н., доцент, зам. директора по научной работе, Институт вычислительного моделирования СО РАН, 660036 г. Красноярск, ул. Академгородок 50, стр.44, e-mail: si@krasn.ru
Аннотация. Работа посвящена актуальным вопросам кибербезопасности и противодействия киберугрозам. Безопасность интернет-сервисов является одной из важных частей проблемы безопасности киберпространства. В работе рассмотрен метод обнаружения угроз на основе совместного временного анализа журналов сетевых служб и интернет-сервисов. Результатом анализа является выявление потенциально уязвимых мест, которые необходимо защищать специальным образом. Опробованы алгоритмы анализа для обнаружения отдельных видов угроз и реализующие их программные компоненты. Алгоритмы и программные средства применены к реальным данным корпоративной сети Красноярского научного центра СО РАН.
Ключевые слова: защита информации, кибербезопасность, компьютерные сети
Введение. В последние 5-10 лет развитие информационно-телекоммуникационных технологий привело к тому, что большинство сфер человеческой деятельности напрямую получили отражение в информационной сфере. Возник новый феномен, названный киберпространством, в котором вопросы безопасности становятся первостепенными. Все больше внимания привлекают вопросы кибербезопасности, киберугроз и кибервойн [1, 10]. Вместе с тем, в сфере IT пока не сложилось однозначного восприятия этих понятий. В первую очередь это связано с достаточно односторонним представлением этой тематики в средствах массовой информации, где освещаются только скандальные события, в виде разоблачений международных сетей хакеров или информационных атак на известных личностей и т.п. Анализ динамики законодательной базы по защите информации в России [4, 7] иллюстрирует возрастающую озабоченность вопросами безопасности со стороны общества и отставание по сравнению со многими зарубежными странами, в которых кибербезопасности посвящены обширные работы [9, 11]. В 2012 Международная организация по стандартизации разработала стандарт в области кибербезопасности: ISO 27032:2012 «Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению кибербезопасности» [8], аналог которого в России пока не принят. Данный стандарт дает однозначное понимание связи кибербезопасности (cybersecurity) с сетевой безопасностью, прикладной безопасностью, интернет-безопасностью и безопасностью критичных информационных инфраструктур. Целью данной работы является анализ кибербезопасности научной сети учреждений Красноярского научного центра с позиций международного стандарта.
1. Основные термины и определения. Центральное место в стандарте занимает киберпространство, определяемое как сложная среда, возникающая в результате взаимодействия между людьми, программным обеспечением и интернет-сервисами, поддерживаемая посредством распространения информационно-телекоммуникационных устройств и сетей по всему миру. В киберпространстве часть проблем безопасности не покрывается существующими традиционными направлениями: информационная безопасность, интернет-безопасность, сетевая безопасность. Остаются пробелы, обусловленные большим количеством организаций и провайдеров услуг в киберпространстве и недостаточной взаимосвязью между ними.
Кибербезопасность (безопасность киберпространства) определяется как сохранение конфиденциальности, целостности и доступности информации в киберпространстве. Взаимосвязь кибербезопасности с соседними областями иллюстрируется на рисунке 1.
Информационная
Кибер преступность
Cybersafety (Безопасное поведение)
Защита критичных информационных инфраструктур
Рис. 1. Взаимосвязь кибербезопасности с другими технологиями (КО 27032:2012)
Исходя из данного определения, кибербезопасность представляет собой набор средств, технологий, стратегий, принципов обеспечения безопасности, гарантий безопасности, подходов к управлению рисками, которые используются для защиты киберсреды, ресурсов организаций и пользователей. Главное внимание уделено защите информации корпоративных и иных пользователей при посещении интернет-сайтов, оплате счетов и использовании интернет-банкинга. Основными участниками киберпространства являются пользователи (частные и корпоративные) и операторы (сетей связи и различных телекоммуникационных приложений). Под угрозу ставятся активы, которые можно разделить на персональные и корпоративные, виртуальные и физические. Средства реагирования на киберугрозы разделяют на превентивные, реактивные и обнаруживающие. На рис.2 приводится модель отношений объектов киберпространства, позволяющая понять все аспекты их взаимодействия. Отдельно стоит пояснить понятие «агент угрозы» используемое в стандарте - это человек или группа людей, выполняющих или
поддерживающих атаку на активы. Под уязвимостью актива понимают слабую защищенность актива или управления, которая может использоваться угрозой.
/-----------оценивают
могут знать об
могутбыть уменьшены засчет
может обладать
— —л
уязвимости
J
хотят злоупотребить и могут представлять опасность J
—ТТТИТПМИП I IIIII I ..... ■■■ |7 ......1 I II1HI I ■ ■ ■■■! М1ЧИ11 I.....ими | ИИ............— I
Рис. 2. Модель отношений объектов безопасности киберпространства (ISO 27032:2012)
Основные предлагаемые в стандарте методы оценки и устранения рисков:
1. Идентификация критических активов: использование терминологии киберпространства расширяет область активов. Поскольку экономически нерентабельно защитить все активы, важно идентифицировать критические активы и предусмотреть специальные меры для их защиты. Выделение происходит из контекста бизнеса, посредством рассмотрения воздействия потери или ухудшения актива на бизнес в целом.
2. Идентификация рисков: участники должны рассмотреть дополнительные риски, угрозы и атаки, появляющиеся при включении в киберпространство.
3. Ответственность: участник киберпространства должен нести дополнительную ответственность перед другими участниками.
4. Отключение систем и сервисов: если система или сервис перестают использоваться, то они должны быть удалены, что гарантирует прекращение воздействия и уменьшение угроз на связанные сервисы и интерфейсы
5. Взаимодействие: подход к управлению рисками применяется ко всему киберпространству. На участников киберпространства возлагаются обязанности планирования на случай непредвиденных ситуаций, аварийного восстановления, развития и внедрения защитных программ для систем под их контролем или в их собственности.
2. Кибербезопасность корпоративной сети научных учреждений. Рассмотрим основные активы киберпространства в контексте научного учреждения:
1. Информацияо научных исследованиях и программное обеспечение - виртуальные активы. Все, что хранится на носителях, передается по сетям и принадлежит рассматриваемойорганизации.
2. Физические устройства, такие, как компьютеры, принтеры, сетевые устройства и прочие устройства, связанные с киберпространством - материальные активы, которые могут быть атакованы из киберпространства.
3. Телекоммуникационные сервисы, такие, как корпоративная электронная почта, вебсайты организации, информационно-справочные и библиотечные системы,корпоративная связь, являются виртуальными, но очень важными для эффективного функционирования научного учреждения.
4. Люди, их квалификация, умения и опыт - эти активы находят свое отражение в киберпространстве. За счет изменения информации о людях в киберпространстве можно нанести серьезный вред, как конкретному человеку, так и организации.
5. Репутация, имидж организации и ее работников являютсянематериальными активами и могут быть испорчены за счет формирования ложного образа в киберпространстве, например, размещения на информационных ресурсах ложных сообщений, ложных отзывов и т.д.
6. Средства на банковских счетах - нематериальные активы, которые могут быть уязвимы из киберпространства.
Приведенный список активов можно расширять, в том числе с учетом специфики источников угроз для сети научно-образовательного учреждения и их динамики [3]. Но даже безопасность перечисленных активов уже не всегда может быть обеспечена традиционными средствами защиты информации. Например, имидж организации, формирующийся, в том числе, и в киберпространстве, можно отслеживать и защищать с помощью мониторинга динамики поисковых запросов об организации. При обнаружении резких изменений следует проанализировать причины и принять адекватные меры. Также безопасность части активов, таких, как телекоммуникационные сервисы, невозможно обеспечить только на уровне организации, так как они тесно связаны с киберпространством. Для защиты в этом случае требуются совместная работа с операторами связи и постоянный мониторинг доступности сервиса из ключевых точек киберпространства.
В Институте вычислительного моделирования СО РАН с 2007 года действует система противодействия попыткам несанкционированного доступа [2], позволяющая отслеживать динамику угроз (рис. 3). По типу функционирования ее можно отнести к реактивным системам, таккак она блокирует входящие соединения в ответ на подозрительные действия.
50
40
30
20
10
0
США
' \ ' \
Бразилия Россия
-1-\-
/ \ / \ / \
Индия Китай
1 S
/ \ / N
/ V
2007 2008 2011 2012 2013 2014 2015
Рис. 3. Доля попыток несанкционированного доступа по странам за 2007-2015 годы
Для выявления потенциальных агентов угроз, рисковых активов организации и анализа попыток несанкционированного доступа был предложен метод анализа журналов интернет-сервисов и сетевых служб [6]. Метод относится к классу обнаруживающих и основан на совместном временном анализе журналов, собираемых на граничных и серверных узлах сети.
Реализованы и проверены алгоритмы анализа для обнаружения отдельных видов угроз и реализующие их программные компоненты. Алгоритмы и программные средства применены к реальным данным корпоративной сети. На рис. 4 иллюстрируется динамика различных видов угроз корпоративной сети.
Рис. 4. Анализ попыток различных видов угроз 2012-2015 годы
Результаты анализа позволили улучшить защитуинтернет-сервисов, настроив соответствующие его компоненты или внешние модули (межсетевой экран, систему предотвращения вторжений), тем самым повыситьстепень информационной безопасности системы.
Рис. 5. Динамика попыток доступа к элементам опытной площадки
3. Анализ рисков для новых элементов киберпространства. Функционирование построенной системы выявило наличие проблемы уверенной идентификации угроз, т.к. некоторые зафиксированные угрозы могли быть вызваны ошибочными действиями пользователей, неправильной настройкой систем и поисковых ботов. Возникла идея сравнить активность на существующих и новых элементах киберпространства. Для достижения этой целибыла настроена опытная площадка, имитирующая новое подключение к сети Интернет нескольких сотен компьютеров. Исследование показало, что нет временного лага между появлением объекта в сети и началом попыток доступа к нему (рис. 5). На основе данных анализа были построены временные диаграммы событий, выявлены потенциально опасные источники и адреса запросов (рис. 6).
По данным площадки было исследовано влияние размещения информации в системе доменных имён (DNS) на интенсивность попыток доступа. Для половины размещённых ресурсов были внесены сведения в прямую и обратную зону DNS. Гипотеза об использовании DNS не подтвердилась - на рис. 7 приведены данные по попыткам доступа по
обоим типам ресурсов: визуально никакой системы не просматривается, соотношение попыток по типам 1:1.
з4000 ззссс з2ССС з1ССС зсссс
29000 28000 27000 26000 25000 24000
лкЛ/М.
L/lCTlfOI *HL/lCTlfOI *HL/lCTlfOI *HL/lCTlfOI ^HL/lCTlfOI ^HL/lCTlfOI
Рис. 7. Количество обращений к ресурсам, имеющим запись в DNS и без нее
Для повышения эффективности функционирования системы блокирования соединений был проведен корреляционный анализ событий, зафиксированных на опытной площадке. Событием считалось количество зафиксированных попыток доступа к заданному ресурсу за период времени, либо количество превышений некоторого порога. Для анализа были взяты наиболее популярные, исходя из текущих наблюдений, сервисы и посчитаны их попарные коэффициенты линейной корреляции (коэффициент корреляции Пирсона). Результаты приведены в таблице 1.
Таблица 1. Коэффициент линейной корреляции для отдельных сервисов
HTTP HTTPS Telnet HTTPa SIP RDP SSH mSQL Radmin MySQL
HTTP 1 0,957 -0,2 0,016 -0,104 0,202 -0,072 -0,114 -0,06 -0,017
HTTPS 0,957 1 -0,189 -0,036 -0,086 0,208 -0,03 -0,115 -0,06 0,054
Telnet -0,2 -0,189 1 -0,17 0,179 -0,191 0,067 0,367 0,027 -0,163
HTTPa 0,016 -0,036 -0,17 1 0,134 -0,031 0,607 -0,351 0,295 0,468
SIP -0,104 -0,086 0,179 0,134 1 0,464 0,27 0,386 0,4 0,174
RDP 0,202 0,208 -0,191 -0,031 0,464 1 0,279 -0,036 0,241 0,153
SSH -0,072 -0,03 0,067 0,607 0,27 0,279 1 0,286 0,191 0,618
mSQL -0,114 -0,115 0,367 -0,351 0,386 -0,036 0,286 1 0,014 -0,204
Radmin -0,0б -0,06 0,027 0,295 0,4 0,241 0,191 0,014 1 -0,06
MySQL -0,017 0,054 -0,163 0,468 0,174 0,153 0,618 -0,204 -0,06 1
Из обнаруженных связей можно выделить пары:
• HTTP-HTTPS - обнаружение веб-серверов по обычному и защищенному соединению (0,957);
• SSH-HTTPa -согласованные попытки обнаружения сервисов удаленного входа и прокси-серверов (0,607);
• MySQL-SSH - согласованные попытки обнаружения сетевой базы данных и прокси-серверов (0,618).
Кроме вышеперечисленных связей на другой выборке был получен коэффициент корреляции 0,497 на паре протоколов SSH-SMTP - попытки входа на удаленный сервер и доступа к почтовому. Таким образом, существует сильная связь между HTTP-HTTPS и при
обращении к одному из них велика вероятность попытки доступа по второму. В свою очередь, доступ по этим протоколам не коррелирует с остальными протоколами, и можно сделать вывод о существенно различных источниках угроз. Среди остальных сервисов наиболее показательным по попыткам доступа является протокол SSH (SecureShell), доступ по которому может служить индикатором попыток обнаружения слабо защищенных сервисов из второй группы (SSH, MYSQL, HTTPa, SMTP). Проведенное исследование позволяет выявить взаимосвязи между отдельными видами угроз и усовершенствовать методы превентивной защиты.
Заключение. В настоящее время в корпоративной сети организаций Красноярского научного центра СО РАН активно используются системы мониторинга критичных интернет -сервисов, уязвимых из киберпространства. Ведется разработка моделей безопасности веб-сервисов, ориентированных использование в киберпространстве[5]. Анализ всех информационно-телекоммуникационных активов научной организации в контексте безопасности киберпространства позволяет выявить новые критические активы и недостатки в их безопасности. Комплексные методы противодействия, предлагаемые стандартом кибербезопасности, позволяют найти приемлемые решения, обеспечивающие безопасность активов киберпространства.
Приведенное исследование может быть перенесено на организации схожего профиля, например, образовательные учреждения и органы муниципального управления. Определение основных объектов кибербезопасности для конкретной предметной области их возможных взаимодействий позволяет по-новому взглянуть на имеющиеся системы защиты информации и системы безопасности. На взгляд автора, наибольший эффект может быть достигнут только путем повышения общей грамотности сотрудников в сфере кибербезопасности, так как большинство рисков связаны с неправильными действиями, неосведомленностью или бездействием конкретных людей.
СПИСОК ЛИТЕРАТУРЫ
1. Бородакий Ю.В., Добродеев А.Ю., Бутусов И.В. Кибербезопасность как основной фактор национальной и международной безопасности XXI века (Часть 1) // Вопросы кибербезопасности. 2013. № 1(1). С. 2-9.
2. Исаев С.В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. Выпуск 3 (43). 2012. С. 20-25.
3. Исаев С.В. Кибербезопасность научного учреждения - активы и угрозы // Информатизация и связь. 2015. №1. С. 53-57.
4. Исаев С.В. О законодательной базе в сфере защиты информации в информационно-телекоммуникационных системах / Материалы XIV Всерос. научно-практической конф. «Проблемы информатизации региона» — Красноярск: ИВМ СО РАН, 2015. С. 72-78.
5. Кононов Д.Д., Исаев С.В. Модель безопасности веб-приложений на основе мандатного ролевого разграничения доступа // Вестник Бурятского государственного университета Выпуск 9. 2012. С. 29-33.
6. Кулясов Н.В. Система распознавания интернет угроз по журналам веб-сервисов // Молодой учёный. 2015. № 11 (91). С. 79-83.
7. Штитилис Д., Клишаускас В. Особенности правового регулирования кибербезопасности в национальных законах Литвы, России и США: стратегии кибербезопасности // Вопросы российского и международного права. 2013. № 7-8. C. 80-100.
8. ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity. Режим доступа: http://www.iso.org/iso/ru/catalogue_detail?csnumber=44375, дата обращения 20.01.2016.
9. Lee, Newton. Counterterrorism and Cybersecurity: Total Information Awareness (2nd ed.). Springer. 2015. 234 p.
10. Singer, P. W.; Friedman, Allan. Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press. 2014. 320 p.
11. Wu, Chwan-Hwa (John); Irwin, J. David. Introduction to Computer Networks and Cybersecurity. BocaRaton: CRC Press. 2013. 1336 p.
UDK 004.738
ANALYSIS OF CYBER THREATS AND THEIR SOURCES ON THE CORPORATE NETWORK KRASNOYARSK SCIENTIFIC CENTER OF THE SB RAS
Sergei V. Isaev
PhD, Docent, Deputy Director for Science Institute of computational modelling of the Siberian Branch of the Russian Academy of Sciences, 50/44, Akademgorodok, 660036, Krasnoyarsk, Russia, e-mail: si@krasn.ru
Abstract Work is devoted to the topical issues of cyber security and combating cyber threats. The security of online services is one of the important parts of the security problems of cyberspace. Is offered the method for detecting threats based on the joint temporal analysis of logs of network services and Internet services. The result of the analysis is to identify potential vulnerabilities that must be protected in a special way. Tested analysis algorithms to detect certain types of threats and implement their software components. Algorithms and software applied to real data of the corporate network of the Krasnoyarsk scientific center SB RAS. Keywords: information protection, cyber security, computer networks
References
1. Borodakij YU.V., Dobrodeev A.YU., Butusov I.V. Kiberbezopasnost' kakosnovnojfaktornacional'nojimezhdunarodnojbezopasnosti HKHI veka (CHast' 1) [Cybersecurity as a major factor in national and international security of the XXI century ] // Voprosykiberbezopasnosti. 2013. № 1(1). pp. 2-9. (in Russian).
2. Isaev S.V. Analizdinamiki internet-ugrozsetiKrasnoyarskogonauchnogocentra SO RAN [The analysis of the dynamics of internet threats of the Krasnoyarsk scientific center SB RAS network] // VestnikSibGAU. Vypusk 3 (43). 2012- pp. 20-25. (in Russian).
3. Isaev S.V.Kiberbezopasnost' nauchnogouchrezhdeniya - aktivyiugrozy [The cybersecurity of the research institutions - assets and threats] // Informatizaciyaisvyaz. 2015. №1. Pp. 53-57. (in Russian).
4. Isaev S.V. O zakonodatel'nojbaze v sferezashchityinformacii v informacionno-telekommunikacionnyhsistemah [The legal framework in the sphere of information protection in information and telecommunication systems] / Materialy XIV Vseros. nauchno-prakticheskojkonf. «Problemyinformatizaciiregiona». Krasnoyarsk: IVM SO RAN. 2015. Pp. 72-78. (in Russian).
5. Kononov D.D., Isaev S.V. Model' bezopasnosti veb-prilozhenij na osnove mandatnogo rolevogo razgranicheniya dostupa [The security model for web applications on the basis of mandatory the role-based access] // Vestnik Buryatskogo gosudarstvennogo universiteta. Vypusk 9. 2012. Pp. 29-33. (in Russian).
6. Kulyasov N.V. Sistema raspoznavaniya internet ugroz po zhurnalam veb-servisov [Recognition system of the Internet threat by logs web-services] // Molodojuchyonyj. 2015. № 11 (91). Pp.
79-83. (in Russian).
7. Stitilis D., Klisauskas V. Osobennosti pravovogo regulirovaniya kiberbezopasnosti v natsionalnykh zakonakh Litvy, Rossii I SShA: strategii kiberbezopasnosti [Features of legal regulation of cybersecurity in the national laws of Lithuania, Russia and the United States: cybersecurity strategies] //Voprosy rossiyskogo I mezhdunarodnogo prava. 2013. No 7-8. Pp.
80-100. (in Russian).
8. ISO/IEC 27032:2012 Information technology — Security techniques — Guidelines for cybersecurity. Available at: http://www.iso.org/iso/ru/catalogue_detail?csnumber=44375, accessed 20.01.2016.
9. Lee, Newton. Counterterrorism and Cybersecurity: Total Information Awareness (2nd ed.). Springer. 2015. 234 p.
10. Singer, P. W.; Friedman, Allan. Cybersecurity and Cyberwar: What Everyone Needs to Know. Oxford University Press. 2014. 320 p.
11. Wu, Chwan-Hwa (John); Irwin, J. David. Introduction to Computer Networks and Cybersecurity. Boca Raton: CRC Press. 2013. 1336 p.
