CC BY
249
ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ
УДК 004.056.5
СОЦИАЛЬНЫЕ СЕТИ, КАК ИСТОЧНИК УГРОЗ ИНФОРМАЦИОННЫМ АКТИВАМ ПРЕДПРИЯТИЯ
SOCIAL NETWORKS AS SOURCE OF THREATS TO INFORMATION ASSETS OF THE ENTERPRISE
А. Г. Анацкая, Е. С. Долгих, Е. В. Толкачева
Сибирский государственный автомобильно-дорожный университет, г. Омск, Россия
A. G. Anatskaya, E. S. Dolgih, E. V. Tolkacheva
The Siberian State Automobile and Highway University, Omsk, Russia
Аннотация. В статье рассматриваются потенциальные атаки на информационные активы предприятий, реализация которых возможна на основе информации, полученной из социальных сетей и открытых информационных сервисов, используемых сотрудниками. На основе анализа статистической информации выявлены возможные угрозы и методы их осуществления, объекты атак и цели киберзло-умышленников. Выполнена оценка рисков информационной безопасности на основе графовой модели, построено дерево атак. Даны рекомендации по разработке контрмер, в частности, обоснована необходимость формирования у сотрудников предприятий культуры поведения в социальных сетях.
Ключевые слова: социальные сети, сотрудники предприятия, информационные активы, угрозы безопасности, кибератаки.
DOI: 10.25206/2310-9793-7-4-53-60
I. ВВЕДЕНИЕ
Информационные ресурсы предприятий и организаций, сведения об их производственной и/или научной деятельности, о движении денежных средств, персональные данные сотрудников и клиентов и многое другое всегда представляли интерес для злоумышленников. Это было актуально и в докомпьютерную эпоху, но наиболее остро данная проблема проявляется в настоящее время в связи с цифровизацией всех сфер жизнедеятельности человека.
Так, по данным анализа актуальных киберугроз в I квартале 2019 г., проведенного экспертами компании Positive Technologies [4] на 12% по сравнению с 2018 г. [3] увеличилось количество хакерских атак, совершаемых в целях хищения информации (рис. 1). Отмечается рост угроз, связанных с использованием украденных учетных данных пользователей.
Получение Финансовая Хактивизм Киберьойна
данных выгода
□ 2018г. I КБ. 2019г.
Рис. 1. Цели совершения кибератак злоумышленниками
Среди похищенной информации 33% составляют персональные данные (5% из которых - личная переписка), 25% - учетные данные, 26% - информация, связанная с деятельностью предприятий и организаций, в том числе 9% - данные, непосредственно составляющие коммерческую тайну [4].
По данным группы компаний - разработчиков инновационных программных продуктов и комплексных решений для информационной безопасности организаций 1п/оШМск, утечки персональных данных в 2018 г. составили 69,5% от общего числа утечек в мире и 80,2% в России, а утечки коммерческой тайны и в России, и в мире в целом составляют около 8% [8].
Среди юридических лиц атакам подвергаются предприятия и организации практически во всех отраслях деятельности. Так, в I квартале 2019 г. 16% киберинцидентов приходятся на долю государственных учреждений, по 10% на промышленные предприятия и медицинские учреждения, а 26% приходится на организации без привязки к отрасли [4].
Основными объектами атак злоумышленников являются инфраструктура предприятий, веб-ресурсы компаний, а также сотрудники и/или пользователи информационных ресурсов и компьютерных сетей, к числу которых относятся и клиенты. За I квартал 2019 г. [4] по сравнению с 2018 г. [3] отмечен рост числа атак на инфраструктуру (рис. 2).
70% 60М 50М 4054 3054
20К
Инфраструктура Веб-ресурсы Сотрудники Мобильные 1сТ Банкоматы и
(пользователи] устройства Р05-терминалы
□ 2018г. II кв. 2015г.
Рис. 2. Объекты атак
По мнению многих экспертов, кибератаки становятся многоэтапными, требующими планирования и подготовки. Начальным этапом организации атак является сбор информации. Веб-ресурсы компаний, разнообразные информационные ресурсы интернета, социальные сети, которыми пользуются сотрудники и клиенты предприятий, являются источниками получения информации злоумышленниками.
В научных исследованиях немало внимания уделяется социальным сетям как потенциальному источнику угроз информационной безопасности. Рядом авторов рассматриваются угрозы, направленные на совершение мошеннических и других противоправных действий, в частности распространение террористической пропаганды, склонение к суициду несовершеннолетних, против личности и общества, а также предлагаются меры их предотвращения [6], [15], [19], [29], [30] и др. Выполняется анализ мотивов и методов деятельности субъектов, совершающих противоправные действия в социальных сетях [21], [26].
Кроме того, рассматриваются угрозы, исходящие от социальных сетей в правовом аспекте [9], [31], и проблемы защиты корпоративных сетей от внутренних угроз [1], [11], [22].
Однако вопросам поведения в социальных сетях сотрудников предприятий, исследованию возможности проведения атак на информационные активы предприятий на основе информации, размещаемой в открытых сервисах интернета, уделяется меньше внимания.
II. ПОСТАНОВКА ЗАДАЧИ
Нередко многие предприятия и организации (особенно относящиеся к малому и среднему бизнесу) недооценивают интерес киберпреступников к информации и информационным активам. Однако это не так, мотивацией совершения атак на информационные системы и компьютерные сети чаще всего является финансовый интерес злоумышленников, конкурентная разведка, получение контроля над вычислительными мощностями, а также приобретение опыта. Получив доступ к информационным активам, злоумышленники могут завладеть базам и массивам данных, использовать эти данные (например, для продажи клиентской базы), вымогать денежные средства или иные данные и материальные ценности и совершать другие противоправные действия.
Наиболее популярным методом осуществления атак является внедрение вредоносного ПО, для чего могут использоваться различные способы несанкционированного доступа к информационным активам предприятий, в том числе такие распространенные, как социальная инженерия, внесение изменений в программное обеспечение, уязвимости веб-ресурсов, подбор учетных данных сотрудников [3].
Кроме того, экспертами отмечается увеличение числа целенаправленных (таргетированных) кибератак, т. е. направленных на отдельную отрасль или конкретную компанию [7]. Отличительной чертой таких атак является то, что одновременно атакуется большое число целей и наименее защищенные пользователи становятся жертвами. Реализация подобных атак требует предварительной подготовки, заключающейся в сборе информации, доступным и бюджетным источником которой являются страницы сотрудников предприятий в социальных сетях. В качестве основного инструмента, используемого хакерами, является фишинг. Характерными угрозами таргетированной атаки являются кража информации, отказ в обслуживании, шпионаж/саботаж [25].
Глобальное исследование утечек конфиденциальной информации в 2018 г., проведенное аналитиками ГК InfoWatch [28] показало, что основным каналом утечки является мировая компьютерная сеть: 55% случайных утечек и 86,65% утечек умышленных было совершено посредством эксплуатации уязвимостей различных сервисов, предоставляемых в интернете. Более чем в половине случаев (54,7% в мире и 87,5% в России) виновниками утечек являются рядовые сотрудники, руководители и системные администраторы, т. е. потенциальные пользователи социальных сетей.
Таким образом, анализ поведения и ошибок, допускаемых пользователями при общении и обмене информацией в социальных сетях, позволяющих злоумышленниками использовать их в качестве канала получения данных для подготовки и реализации атак на информационные активы предприятий, является актуальной задачей.
III. ТЕОРИЯ
Социальные сети - это среда с практически мгновенной скоростью распространения информации, содержимое многих социальных ресурсов индексируется и доступно из поисковиков. Роль социальных сетей в жизни современного общества довольно велика, особенно привычка виртуального общения распространена среди молодого поколения, заменяющая подчас реальное взаимодействие с реальными людьми. Со временем, причем достаточно скоро, эта аудитория станет сотрудниками различных компаний, и подобная привычка может стать вероятным каналом утечки. Однако и сотрудники более старшего возраста тоже довольно активно используют различные социальные сети. Максимальный уровень вовлеченности в виртуальное общение наблюдается в возрастной группе 18-24 года - почти каждый день соцсетями пользуется 91% респондентов, в возрастной категории 25-34 - 69% [20]. Привычка среди сотрудников к такого рода коммуникациям несет потенциальную угрозу утечки конфиденциальной информации предприятия.
По данным за февраль 2019 г., наиболее популярными ресурсами по совокупной аудитории на мобильных устройствах и ПК в Рунете являются: Яндекс - его среднесуточный охват среди населения 12-64 лет, проживающего в городах, составляет 47%, ВКонтакте - 43% и Google - 39% [5].
У пользователей социальных ресурсов выработалась стойкая привычка выставлять всю жизнь напоказ, публикуя о себе и своей профессиональной деятельности разнообразную и довольно подробную информацию. Киберзлоумышленнику не составит особого труда собрать из разрозненных публикаций достаточно сведений о субъекте, чтобы совершить целенаправленную атаку или один из ее этапов. Так, как сообщает портал www.anti-malware.ru, весной 2019 г. в интернете были обнаружены незащищенные базы данных около 60 миллионов пользователей социальной Linkedln, сети, предназначенной для деловых контактов.
К сожалению, люди сами часто сами добровольно распространяют информацию о своей жизни. Как отмечают эксперты [22], уязвимости общения в социальных сетях обусловлены тем, что пользователи допускают дружеское общение с неизвестными или малоизвестными людьми, с которыми готовы делиться любой информацией. В этом случае угрозы связаны с возможностью подмены личности. Результатом такого общения может стать фишинг, шантаж, дискредитация сотрудника или имиджа компании и т. п. Кроме этого, сотрудники в ходе неформального общения могут по невнимательности (или намеренно) поделиться конфиденциальной информацией с потенциальным злоумышленником.
Известным фактом является привычка многих пользователей применять одни и те же логины и пароли (причем достаточно простые, основанные на личной информации) для доступа к различным веб -сервисам, как внешним, так и корпоративным. Такая привычка значительно увеличивает риск проникновения в корпоративную сеть или к информационным ресурсам под именем легального пользователя. Исследователями отмечается [12], что практически половина пользователей использует одни и те же пароли для различных сайтов, что, конечно, упрощает работу хакеров.
Часто пользователи допускают ошибки при использовании онлайн-сервисов и незащищенных сайтов. Так, у посетителей игровых сервисов по никнейму можно определить фамилию и год рождения, что позволяет далее выяснить связанные аккаунты, найти адрес электронной почты, фотографии с метками геолокации и много других сведений.
Получить имена пользователей возможно и на основе открытых ресурсов, таких как справочники предприятий, материалы конференций, публикации об исследованиях и т. п. Не редки случаи, когда в организациях логины пользователей имеют предсказуемую структуру, основанную на имени сотрудника и/или его должности. Нежелание сотрудников запоминать различные логины и пароли для различных ресурсов, применение единых имен и словесных паролей в корпоративных и социальных сетях существенно повышает риск такой атаки, как Daisy Chain, в результате которой взлом аккаунта в соцсети значительно повышает риск несанкционированного доступа к информационным активам предприятия. Довольно высока опасность атаки методом credential stuffing, при котором киберпреступники могут получить доступ к учетным записям пользователей за счет автоматического перебора имеющихся сведений о регистрационных данных [16].
Получив доступ к профилям пользователей в социальных сетях, злоумышленники могут распространять вредоносное ПО, рассылать фишинговые письма, организовывать вымогательство и шантаж, подбивать жертв к совершению противоправных действий для получения конфиденциальной информации и доступа к информационным ресурсам. Экспертами отмечается, что 33% атак на корпоративные информационные сети основаны на уязвимости словарных паролей, причем таким атакам присваивается высокий уровень риска [18].
Различают два основных способа сбора информации злоумышленниками [17]:
- анализ цифрового следа, который пользователь оставляет в сети: Ф. И. О., e-mail, домашние и рабочие адреса, номера телефонов, фотографии, посты и комментарии на различных ресурсах, клички домашних животных и многое другое;
- социальная инженерия, подразумевающая использование методов (в основном фишинг), позволяющих обманом получить от жертвы нужную информацию.
Вполне легально в интернете существуют различные сервисы, позволяющие выполнять поиск по отдельным характеристикам (поиск по фотографии, по IP-адресу, по ИНН и т. п.), а также агрегирующие информацию о личности из различных социальных сетей. К таким сервисам относятся Яндекс. Люди, Social Searcher, FindFace и др. Такие сервисы изначально создавались для удобства пользователей, чтобы лучше узнать своих собеседников или партнеров по бизнесу, однако они с успехом эксплуатируются киберпреступниками. Кроме того, отмечается, что на российских киберкриминальных форумах можно обнаружить достаточно много объявлений о продаже или аренде специализированных программных решений для сбора данных в популярных социальных сетях [10].
На основе вышеизложенного можно заключить, что через проникновение в аккаунты и профили социальных сетей сотрудников предприятий злоумышленники могут осуществлять множество разнообразных атак, направленных на информационные ресурсы и корпоративные информационные системы. Путями проникновения чаше всего являются методы социальной инженерии, распространение компьютерных вирусов, сбор личных данных сотрудников, в том числе руководящих работников. К основным угрозам, исходящим от социальных сетей, относят [22]:
• веб-атаки - социальные сети используют злоумышленники для организации атак через уязвимости в браузерах;
• воровство паролей и фишинг - кибернарушителю достаточно узнать или получить пароль для того, чтобы организовать рассылку от чужого имени, распространить заведомо ложную информацию и выполнить другие противоправные действия;
• утечка информации - социальные ресурсы могут быть использованы для непредумышленной или умышленной утечки конфиденциальных сведений.
IV. РЕЗУЛЬТАТЫ ЭКСПЕРИМЕНТОВ
В рамках данного исследования, был проведен небольшой эксперимент, направленный на изучение возможности получения сведений о пользователях социальных сетей без использования каких-либо специальных средств. В популярных сетях были выбраны 10 случайных персон, у которых на странице было указано место работы. Целью исследования было изучение уровня знаний в области информационной безопасности сотрудников данных предприятий в социальных сетях. У большинства из выбранных респондентов имелись фотографии с членами своей семьи (это можно было понять по подписям к фотографиям, а также по отмеченным людям на них). У всех была хотя бы одна фотография с геометкой. Некоторые указывали на своих страницах в социальной сети свои действующие мобильные номера. На половину из выбранных людей получилось собрать досье с полным составом их ближайший родственников и окружения, месте работы, увлечениях и т. п. Таким образом, эксперимент показал, что культура обращения с личной информацией у многих пользователей не сформирована.
Моделирование угроз информационной безопасности позволит выполнять адекватную оценку рисков информационной безопасности и сформировать эффективную систему защиты. Для анализа рисков информационной безопасности существует множество различных методов, в том числе метод графового моделирования для анализа рисков информационной безопасности.
В графовой модели [14] рассматриваются четыре уровня: злоумышленник (M (malefactor)), возможные угрозы (множество угроз Т (threats)), потенциальные уязвимости (множество уязвимостей V(vulnerabilities)) и информационные активы предприятия (множество активов А (assets)). Элементы множеств являются узлами графа, ребра отображают взаимодействие элементов между собой, каждое ребро имеет определенную метрику в заданном диапазоне (до 1). Число, соответствующее метрике, отображает качественные характеристики:
- на уровне связей злоумышленник - угроза: величина, отображает уровень мотивации (reason) Ri,, т. е. меру необходимости получения какого-либо результата при осуществлении доступа к конкретному активу;
- на уровне связей угроза - уязвимость: показатель возможности использования уязвимости для реализации конкретной угрозы (use) Utiv j
- на уровне связей уязвимость - актив: степень опасности уязвимости для того или иного информационного актива (danger) Dv jam.
На рис. 3 представлена графовая модель оценки рисков для производственного предприятия на основе угроз, реализация которых возможна на основе информации, полученной из открытых ресурсов интернета и социальных сетей которыми пользуются сотрудники. Информационные активы предприятия выделены на основе ГОСТ Р ИСО/МЭК 27005-2010. «Информационная технология. Методы и средства обеспечения безопасности. Менеджмент риска информационной безопасности». Все информационные активы предприятия подвержены рискам реализации угроз безопасности посредством эксплуатации злоумышленниками возможные источники утечки информации через социальные сети и открытые ресурсы.
Рис. 3. Графовая модель оценки рисков
Множество угроз (Т„) составлено на основе рассмотренной выше статистической и аналитической информации, в данное множество входят следующие элементы:
Т1 - утечка (разглашение, утечка, передача) конфиденциальной информации;
Т2 - модификация (искажение, нарушение целостности) информации;
Т3 м нарушение доступности (блокирование) информации;
Т4 - заражение компьютеров вирусами;
Т5 - незаконное получение паролей и других реквизитов;
Т6 - таргетированные атаки.
Множество уязвимостей (У„) составляют элементы: VI - социальные сети; У2 - сайт предприятия;
V3 - открытые ресурсы интернет (новостные ленты, справочники и т.п.);
V4 - материалы конференций (доклады, статьи, материалы, форумы специалистов, т.п.);
V5 - электронная почта сотрудников.
Элементами множества активов (А„) являются:
А1 - персональные данные сотрудников (БД в которой хранится информация, документы); А2 - коммерческая тайна (технологии, договора, бизнес-процессы, финансовая информация); А3 - специализированное ПО, используемое в бизнес-процессе обработки информации; А4 - аппаратные средства, в т.ч. оборудование каналов связи; А5 - вспомогательное ПО (ОС и приложения прикладного характера); А6 - персонал.
В рассматриваемом примере метрики ребер определены на основе аналитических отчетов, имеющихся в открытом доступе: [2], [3], [4], [8], [12], [13], [16], [18], [23], [24], [27], [28].
Полученная графовая модель демонстрирует, что рассматриваемые угрозы преимущественно могут быть реализованы посредством использования информации из социальных сетей сотрудников предприятий и позволяют злоумышленникам воздействовать негативным образом практически на все информационные активы предприятии. Все угрозы являются осуществимыми и практически не требуют специального оборудования.
Для детализации описания возможных способов атак, реализующие угрозы, построено обобщенное дерево атак (рис. 4). Элементами дерева атак являются:
G0 -получение доступа к информационным ресурсам предприятия;
G1 - сообщение с вредоносной программой или фишинг-ссылкой для сбора данных или заражения одного из компьютеров внутри сети;
G2 - взлом аккаунта и использование его для дальнейшего проникновения в сеть предприятия;
G3 - создание фальшивого аккаунта
G4 - футпринтинг;
G5 - мониторинг (сбор информации);
G6 - подбор паролей (в т.ч. brute force);
G7 -социальная инженерия;
G8 - выманивание/воровство паролей;
G9 - принуждение к сотрудничеству /инсайдеры.
Рис. 4. Дерево атак с использованием социальных сетей в общем виде
V. ВЫВОДЫ И ЗАКЛЮЧЕНИЕ
Таким образом, поведение сотрудников предприятий в социальных сетях может служить источником информации для совершения атак злоумышленниками. Запрет на использование соцсетей на рабочем месте не может являться гарантированной защитой, так как внерабочее время использование таких ресурсов не регламентируется. Сотрудники предприятий должны осознавать возможные угрозы и последствия их реализации. В частности, на предприятиях должна быть разработана и внедрена парольная полтика, предусматривающая использование сильных паролей, частоту смены учетных записей, четкое разграничение доступа к информационным активам. Кроме того, формирование культуры в сфере информационной безопасности и культуры ответственного использования социальных ресурсов сети позволит снизить риски информационной безопасности.
СПИСОК ЛИТЕРАТУРЫ
1. Lytvynov V., Stoianov N., Skiter I., Trunova H., Hrebennyk A. Corporate networks protection against attacks using content-analysis of global information space // Технические науки и технологии. 2018. № 1 (11). С. 115130.
2. Operation TaskMasters: Кибершпионаж в эпоху цифровой экономики. URL: https://www.ptsecurity.com/ru-ru/research/analytics/operation-taskmasters-2019 (дата обращения 08.07.2019).
3. Актуальные киберугрозы - 2018. Тренды и прогнозы. URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-2018/ (дата обращения 08.07.2019).
4. Актуальные киберугрозы. I квартал 2019 года. URL: https://www.ptsecurity.com/ru-ru/research/analytics/cybersecurity-threatscape-q1-2019/ (дата обращения 08.07.2019).
5. Аудитория российского сегмента интернета в 2019 году. URL: https://www.shopolog.ru/metodichka/analytics/auditoriya-rossiyskogo-segmenta-interneta-v-2019-godu/ (дата обращения 08.07.2019).
6. Бураева Л. А. Социальные сети как угроза информационной безопасности. URL: https://cyberleninka.ru/article/v/sotsialnye-seti-kak-ugroza-informatsionnoy-bezopasnosti (дата обращения 10.07.2019).
7. Взломать любой ценой: сколько может стоить APT. URL: https://www.ptsecurity.com/ru-ru/research/analytics/apt-2019/ (дата обращения 08.07.2019).
8. Глобальное исследование утечек конфиденциальной информации в 2018 году. URL: https://www.infowatch.ru/resources/report2018 (дата обращения 08.07.2019).
9. Дерендяева Т. М., Мухина Г. А. Социальные сети как угроза информационной безопасности хозяйствующего субъекта: правовой аспект // Вестник Калининградского филиала Санкт-Петербургского университета МВД России. 2018. № 3 (53). С. 51-55.
10. Егров А. Злоумышленники собирают номера телефонов пользователей из профилей соцсетей. URL: https://3dnews.ru/925790 (дата обращения 08.07.2019).
11. Жукова В. И. Информационная безопасность внутрикорпоративной виртуальной сети: угрозы, требования, рекомендации // Международный студенческий научный вестник. 2018. № 6. С. 74.
12. Илюшенко М. 18 секретов кибербезопасности: о чем молчат хакеры? URL: http://fb.ru/post/destinations/2018/1/4/19939 (дата обращения 08.07.2019).
13. Как злоумышленники собирают информацию для целевого фишинга. URL: https://www.kaspersky.ru/blog/spearphishers-information/22228/ (дата обращения 08.07.2019).
14. Козачок А.И., Балабан К.Ю. Графовая модель оценки рисков в информационных системах учебного назначения. Методические вопросы преподавания инфокоммуникаций в высшей школе. 2012. Т. 1, № 2. С. 15-17.
15. Могилевская Г. И., Авдеева Т. Г., Алексеенко Ю. В. Мониторинг и анализ социальных сетей для предотвращения угроз информационной безопасности // Аллея науки. 2017. Т. 1, № 14. С. 799-804.
16. Опасность кражи данных: атаки методом credential stuffing. URL: https://www.cloudav.ru/ mediacenter/tips/credential-stuffing-attacks/ (дата обращения 08.07.2019).
17. Павлов А. Чем опасна кража личных данных в сети и как от нее защититься. URL: https://hi-tech.mail.ru/review/chem-opasna-krazha-lichnyh-dannyh-v-seti-i-kak-ot-nee-zashchititsya/#a01 (дата обращения 08.07.2019).
18. Промышленные компании: векторы атак. URL: https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/ (дата обращения 08.07.2019).
19. Проноза А. А., Чечулин А. А., Комашинский Н. А. Угрозы безопасности в социальных сетях и защита от информации // Региональная информатика и информационная безопасность: сборник трудов. 2017. СПО-ИСУ. СПб., 2018. Вып. 6. С. 259-261.
20. Пфанштиль И. Пользователи соцсетей в России: статистика и портреты аудитории. URL: https://rusabili^.ru/internet-marketing/polzovateli-sotssetej-v-rossii-statistika-i-portre^-auditorii/ (дата обращения 08.07.2019).
21. Савва Ю. Б. Мониторинг и анализ противоправной деятельности участников виртуальных социальных сетей в контексте решения задачи обеспечения безопасности личности и государства // Научный результат. Информационные технологии. 2016. Т. 1, № 4. С. 55-63.
22. Седов О. Угрозы социальных сетей. URL: https://www.osp.ru/cio/2011/12/13012286 (дата обращения 08.07.2019).
23. Социальные сети как угроза информационной безопасности. Применение программ типа DLP. URL: https://vuzlit.ru/312245/sotsialnye_seti_ugroza_informatsionnoy_bezopasnosti_primenenie_programm_tipa (дата обращения 08.07.2019).
24. Социальные сети: актуальные киберугрозы и способы защиты. URL: https://itbiz.ua/socialnye-seti-aktualnye-kiberugr (дата обращения 08.07.2019).
25. Таргетированные или целевые кибератаки «Развитая устойчивая угроза». URL: http://www.tadviser.m/mdex.php/Статья:APT_-_Таргетированные_или_целевые_атаки (дата обращения 08.07.2019).
26. Тумбинская М. В. Системный анализ распространения нежелательной информации в online social network // Вестник Северо-Восточного федерального университета им. М.К. Аммосова. 2017. № 6 (62). С. 67-83.
27. Угрозы дня: Атаки методом Credential stuffing, статистика киберугроз. URL: https://www.comss.ru/ page.php?id=5403 (дата обращения 08.07.2019).
28. Утечки данных. Россия. 2018 год. URL: https://www.infowatch.ru/resources/analytics/reports/russia2018 (дата обращения 08.07.2019).
29. Фальконе Я. И., Гаценко О. Ю., Жигулин Г. П. Классификация основных характеристик информационных угроз в социальных сетях // Научно-технический вестник Поволжья. 2017. № 1. С. 100-102.
30. Фролов Н. В. Социальные сети как инструмент ведения информационных войн // Социодинамика. 2018. № 8. С. 1-6. DOI: 10.25136/2409-7144.2018.8.27128. URL: https://nbpublish.com/library_read_article.php?id=27128 .
31. Шакирьянов М. М. Пути повышения эффективности расследования преступлений экстремистской направленности в сети Интернет // Вестник Казанского юридического института МВД России. 2018. № 4 (34). С. 549-555.
32. Шумилова А. А. Информационно-коммуникативные риски виртуального пространства // Международный журнал гуманитарных и естественных наук. 2016. № 1-8. С. 160-165.
УДК 004.056
МИНИМИЗАЦИЯ РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ НА ОСНОВЕ МОДЕЛИРОВАНИЯ УГРОЗ БЕЗОПАСНОСТИ
MINIMIZATION OF INFORMATION SECURITY RISKS BASED ON MODELING SECURITY THREATS
И. И. Баранкова, У. В. Михайлова, М. В. Афанасьева
МГТУ им. Г. И. Носова, г. Магнитогорск, Россия
I. I. Barankova, U. V. Mikhailova, M. V. Afanasyeva
Nosov Magnitogorsk State Technical University, Magnitogors, Russia
Аннотация. Детально разработанные модели угроз безопасности информации (УБИ) позволяют оптимально проработать план защиты, который будет основан на актуальных угрозах и будет рассматривать эффективные контрмеры, повышающие уровень информационной безопасности (ИБ). Одной из основных целей моделирования является создание наиболее эффективной системы оценки состояния защищенности активов предприятия. Современные информационные системы (ИС) имеют достаточно сложную объектную структуру, а также предполагают многогранность понятий ИБ. Для описания модели угроз целесообразно использовать различные методологии автоматизации данного процесса с возможностью визуального представления структуры сложных объектов и процессов с необходимого ракурса и достаточной степенью детализации. Построение различных реализаций угроз в виде деревьев или графов атак (ГАт) является одним из актуальных направлений в оценке уровня защищенности ИС. После построения графа должна быть реализована проверка его свойств. Все угрозы, связи, их параметры определяются владельцами активов и специалистами в области ИБ. Устранение изъянов модели безопасности с полным перекрытием стало возможным при использовании. В таких моделях каждой угрозе противопоставляется свое средство защиты. В статье рассмотрено создание программного приложения для автоматизации и формализации процесса оценки ИБ активов ИС и локализации узких мест в системе защиты ИС. Особенностью созданного приложения является использование банка данных угроз ФСТЭК для моделирования дерева атак. Разработанное программное приложение позволяет сократить время, упростить процесс оценки защищенности ИС, а также визуализирует процесс моделирования угроз. Областью применения разработанного программного продукта могут являться организации малого и среднего бизнеса, а также государственные предприятия.
Ключевые слова: угрозы информационной безопасности, граф атак, контрмеры, информационные активы, модель безопасности.
DOI: 10.25206/2310-9793-7-4-60-66
I. Введение
Существует огромное количество актуальных для предприятия или организации потенциальных угроз. Вследствие этого процедура их определения и автоматизация процесса моделирования угроз становится достаточно сложной. Методики составления модели угроз сложны, особенно для средних и малых организаций, у
