УПРАВЛЕНИЕ СОБЫТИЯМИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ. КЛАССИФИКАЦИЯ ИНЦИДЕНТОВ

INFORMATION SECURITY EVENT MANAGEMENT. CLASSIFICATION OF INCIDENTS

Vasily Igumenshchev

student, Russian Technical University MIREA,

Russia, Moscow

Ekaterina Tsvetkova

student, Russian Technical University MIREA,

Russia, Moscow

АННОТАЦИЯ

В данной работе рассматривается один из подходов к классификации (типизации) инцидентов информационной безопасности, основанный на международном нормативном документе.

ABSTRACT

This paper considers one of the approaches to the classification of information security incidents based on an international regulatory document.

Ключевые слова: информационная безопасность, инцидент, управление инцидентами, классификация инцидентов.

Keywords: information security, incident, incident management, incident classification.

Введение. В современном динамично развивающемся мире, нельзя не выделить роль защиты информации. Важной составляющей этого многоэтапного процесса является управление инцидентами ИБ, ведь от качества построения данного процесса зависит правильность предпринятых мер по обеспечению предотвращения утечек. Для корректной организации всех процедур необходимо типизировать инциденты информационной безопасности. В данной статье будет рассмотрен один из рекомендуемых подходов.

Управление событиями информационной безопасности. Процесс защиты от утечек информации основывается на сочетании технических и административных средств контроля. Эти средства контроля предназначены для предотвращения, обнаружения и реагирования на несанкционированное раскрытие конфиденциальной информации. На сегодняшний день существуют методики, которые определяют основные параметры событий и основные этапы по управлению ими. Эти методологии и стандарты обеспечивают основу для выявления, реагирования и анализа инцидентов информационной безопасности. Их цель - обеспечить последовательную и эффективную обработку инцидентов, а также помочь организациям со временем улучшить свои процессы управления инцидентами.

Одним из широко используемых во всем мире стандартов является ISO/IEC 27035-1:2016.  Он обеспечивает процессно-ориентированный подход к управлению инцидентами, который подходит для организаций любого размера и типа. Он охватывает полный жизненный цикл управления инцидентами, начиная с подготовки и обнаружения инцидента, реагирования и восстановления, и заканчивая действиями после инцидента, включая извлечение уроков и совершенствование возможностей управления инцидентами.

Для своевременного реагирования на компьютерный инцидент, необходимо понимать с какими типами инцидентов есть вероятность встретиться, поэтому для оптимизации и стандартизации процесса управления событиями информационной безопасности используется классификация инцидентов и выделяется несколько основных категорий.

Классификация инцидентов информационной безопасности. Классификация инцидентов помогает стандартизировать управление событиями информационной безопасности, предоставляя последовательную основу для идентификации и категоризации инцидентов. Это позволяет группам реагирования на инциденты быстро и легко определять соответствующую реакцию на инцидент на основе его классификации.

Система классификации может быть основана на воздействии инцидента, например, низкой, средней и высокой степени серьезности, или на типе инцидента, например, технический инцидент (например, вредоносное ПО, несанкционированный доступ) или не технический инцидент (например, нарушение политики, инциденты физической безопасности).

Рассмотрим несколько примеров основных типов инцидентов информационной безопасности.

1. Отказ в обслуживании

Атака типа "отказ в обслуживании" (DoS) - это тип инцидента информационной безопасности, целью которого является нарушить нормальное функционирование сети или системы, не позволяя законным пользователям получить доступ к необходимым им услугам.

DoS-атаки могут принимать различные формы, но все они имеют одну и ту же цель: перегрузить сеть или систему большим количеством трафика и сделать недоступной. Некоторые распространенные типы DoS-атак включают:

• атаки с помощью отправки большого количества трафика в сеть или систему, переполняя ее и делая недоступной
• атаки с помощью увеличения объема легального трафика, направленного на целевую сеть или систему. Примерами являются атаки с усилением DNS и атаки с усилением NTP
• атаки прикладного уровня, которые направлены на то, чтобы перегрузить и сделать недоступными конкретные приложения или службы. Примерами могут служить HTTP-флуд и атаки с использованием SQL-инъекций
• распределенные атаки типа "отказ в обслуживании" (DDoS) - тип DoS-атаки, когда несколько взломанных систем, часто зараженных вредоносным ПО, используются для атаки на одну систему

Иногда инциденты DoS могут быть вызваны случайно, например, неправильной настройкой оператора или несовместимостью прикладного программного обеспечения, но в большинстве случаев они являются преднамеренными. Некоторые технические инциденты DoS намеренно запускаются с целью сбоя системы или службы, или отключения сети, также следует отметить, что инцидент DoS может быть вызван побочной деятельностью других вредоносных продуктов. Например, один из наиболее распространенных методов скрытого сетевого сканирования может привести к сбою старых или неправильно сконфигурированных систем или служб. Но в большинстве случаев инцидент вызывается после преднамеренной атаки с целью сбоя работы инфраструктуры, причем часто такие атаки выполняются анонимно, поскольку злоумышленник обычно не полагается на получение какой-либо информации обратно из атакуемой систем.

2. Несанкционированный доступ

Несанкционированный доступ - это тип инцидента информационной безопасности, при котором человек или программа получает доступ к компьютерной системе, сети или данным без разрешения. Это может включать получение доступа к системам и данным, к которым злоумышленник не должен иметь доступа, а также использование чужой учетной записи или системы без разрешения.

Несанкционированный доступ может осуществляться различными способами, включая угадывание или взлом паролей, использование известных уязвимостей или уязвимостей нулевого дня для эксплуатации системы, а также использование методов социальной инженерии для обмана пользователей с целью предоставления доступа.

Несанкционированный доступ может иметь различные негативные последствия, включая кражу или потерю конфиденциальной информации, нарушение работы служб и повреждение систем. Он также может быть использован как ступенька для дальнейших атак, таких как кража данных или распространение вредоносного ПО.

3. Вредоносное ПО

Вредоносное программное обеспечение - это любое программное обеспечение, предназначенное для нанесения вреда или ущерба компьютерной системе, сети или устройству. Вредоносное ПО может распространяться различными способами, включая вложения электронной почты, загрузку зараженного программного обеспечения, зараженные внешние устройства хранения данных и атаки через браузеры. Все способы направлены на одну цель - внедрение в элемент информационной инфраструктуры части кода программного обеспечения, предназначенного для получения несанкционированного доступа к ее вычислительным ресурсам.

Существует множество различных типов вредоносного ПО, каждый из которых обладает своими уникальными характеристиками и возможностями, рассмотрим основные:

• вирусы: тип вредоносного ПО, которое присоединяется к легитимной программе и воспроизводит себя, распространяясь на другие системы.
• черви: тип вредоносного ПО, которое может копировать себя и распространяться по сети без необходимости прикрепления к легитимной программе.
• трояны: тип вредоносного ПО, которое маскируется под легитимное программное обеспечение, часто поставляется в комплекте с легитимным ПО или передается по фишинговой электронной почте.
• ransomware: тип вредоносного ПО, которое шифрует файлы пользователя и требует выкуп в обмен на ключ для расшифровки
• adware: тип вредоносного ПО, которое отображает нежелательную рекламу и всплывающие окна на зараженной системе
• ботнеты: вредоносное ПО, позволяющее злоумышленнику удаленно контролировать зараженные системы, используется для DDoS-атак, рассылки спама и фишинговых кампаний, распространения вредоносного ПО и других вредоносных действий

Вредоносное ПО может вызывать различные негативные последствия, в зависимости от его типа и возможностей. Оно может нарушить работу системы, украсть личную и конфиденциальную информацию, зашифровать или удалить файлы, нанести вред системным ресурсам или обеспечить удаленный контроль над зараженными системами.

4.  Злоупотребление полномочиями

Инцидент информационной безопасности, такого типа как злоупотребление полномочиями, происходит, когда пользователь нарушает политику безопасности информационной системы организации. Такие инциденты не всегда носят злонамеренный характер, но все же могут оказать негативное влияние на безопасность систем и данных организации. Примеры нарушений могут включать:

• загрузка и установка инструментов для взлома подвергают риску системы и данные организации, поскольку создает потенциальные уязвимости или вредоносный код
• использование корпоративной электронной почты для рассылки спама или продвижения личного бизнеса нарушает целостность коммуникаций организации и приводит к таким проблемам, как снижение производительности и ущерб ее репутации
• создание несанкционированного веб-сайта с использованием корпоративных ресурсов приводит к расходу сетевых ресурсов и может подвергнуть организацию юридической ответственности
• использование одноранговой деятельности для приобретения или распространения пиратских файлов подвергает организацию риску судебных исков и может нанести ущерб ее репутации

Инциденты, относящиеся к этой категории, не являются атаками в строгом смысле этого слова, но это не отменяет опасность их воздействия для информационной  безопасности организации.

5. Сбор информации

Сбор информации - это тип инцидента информационной безопасности, при котором злоумышленник пытается собрать информацию о целевой организации или частном лице. Это может включать сбор информации о сетевой инфраструктуре организации, сотрудниках и конфиденциальных данных. Целью сбора информации является выявление уязвимостей или слабых мест, которые могут быть использованы в последующей атаке.

Существует множество методов, которые злоумышленники могут использовать для сбора информации, в том числе:

• социальная инженерия: обманом заставить сотрудников раскрыть конфиденциальную информацию, например, учетные данные для входа в систему или конфиденциальные данные.
• OSINT (Open-Source Intelligence): сбор информации из общедоступных источников, таких как социальные сети, веб-сайты компаний и публичные документы.
• сканирование сети: использование инструментов для составления карты сетевой инфраструктуры организации и выявления открытых портов и служб.
• исследование инфраструктуры на наличие уязвимостей: использование инструментов для выявления известных уязвимостей в системах и программном обеспечении организации.

Сбор информации часто является первым шагом в более масштабной атаке, поскольку он позволяет злоумышленнику лучше понять цель и соответствующим образом спланировать атаку. Даже если сбор информации не наносит прямого вреда или ущерба, он может привести к серьезной атаке, если информация будет использована не по назначению. Зачастую злоумышленники используют автоматизированные инструменты, которые не только ищут слабо защищенные места в системе, но и эксплуатируют обнаруженные уязвимости.

Вывод. В современном мире вопрос защиты информации актуален как никогда. Для выполнения этой задачи необходимо правильное построение всех этапов процесса управления инцидентами информационной безопасности. Типизация инцидентов является ключевым процессом в управлении инцидентами, она помогает определить соответствующее реагирование и распределение ресурсов, выявить закономерности и тенденции, а также поддержать соблюдение нормативных требований и отчетность. Это важный этап в процессе управления инцидентами, который помогает организациям эффективно управлять инцидентами безопасности и смягчать их последствия.

Список литературы:

1. ISO/IEC 27035-1 Information technology — Security techniques — Information security incident management — Part 1: Principles of incident management (Принципы менеджмента инцидентов)
2. ISO/IEC 27035-2 Information technology — Security techniques — Information security incident management — Part 2: Guidelines to plan and prepare for incident response (Руководство по планированию и разработке реагирования на инциденты)
3. ISO/IEC 27000:2018 (все части) Information technology — Security techniques — Information security management systems — Overview and vocabulary
4. ГОСТ Р ИСО/МЭК 27035 (все части) Управление инцидентами, связанными с безопасностью информации
5. Расследование инцидентов информационной безопасности: учебное пособие / И.Н. Васильева. – СПб. : Изд-во СПбГЭУ, 2019
6. Pete Shoard, Andrew Davies. Magic Quadrant for Security Information and Event Management. URL: https://www.gartner.com/en