ПРИМЕНЕНИЕ РЕШАЮЩИХ ДЕРЕВЬЕВ ДЛЯ АВТОМАТИЗАЦИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ И ИНФРАСТРУКТУРЫ

APPLICATION OF DECISION TREES FOR AUTOMATION OF INFORMATION SECURITY AUDIT OF CORPORATE INFORMATION NETWORKS AND INFRASTRUCTURE

Artur Trigubkin

Student, MIREA - Russian Technological University,

Russia, Moscow

Artem Sobolev

Student, MIREA - Russian Technological University,

Russia, Moscow

Georgy Abramkin

Student, MIREA - Russian Technological University,

Russia, Moscow

АННОТАЦИЯ

В данной статье рассматривается применение решающих деревьев в качестве инструмента для автоматизации процедуры проведения аудита информационной безопасности, предлагая новый подход к обеспечению защиты корпоративных информационных ресурсов. В результате исследования предлагается вариант реализации модели процедуры автоматизации аудита корпоративной инфраструктуры.

ABSTRACT

This article discusses the use of decision trees as a tool for automating the information security audit procedure, offering a new approach to ensuring the protection of corporate information resources. As a result of the research, a variant of the implementation of the model of the audit automation procedure for corporate infrastructure is proposed.

Ключевые слова: информационная безопасность, аудит, решающие деревья, информационная система, автоматизация.

Keywords: information security, audit, decision trees, information system, automation.

ВВЕДЕНИЕ

В современном динамичном информационном ландшафте предприятий и организаций, где цифровые технологии стали неотъемлемой частью бизнес-процессов, обеспечение информационной безопасности корпоративных сетей и систем становится крайне важным элементом управления. В условиях постоянно возрастающих угроз со стороны киберпреступников и появления новых методов атак, необходимость в эффективных мерах обеспечения безопасности данных становится актуальной задачей для бизнес-сообщества.

Аудит информационной безопасности выступает ключевым инструментом в выявлении и анализе уязвимостей, а также в разработке стратегий и тактик для их устранения. Однако, с увеличением объема данных и сложности информационных систем, традиционные методы аудита сталкиваются с вызовами в обеспечении оперативной и точной оценки уровня безопасности корпоративных информационных сетей.

В данной статье мы рассмотрим инновационный подход к автоматизации процессов аудита информационной безопасности, основанный на применении решающих деревьев. Этот метод предоставляет уникальные возможности для эффективного анализа, выявления паттернов и высокоточного принятия решений в области обеспечения безопасности данных корпоративных информационных сетей и систем.

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Большую роль в жизни коммерческих и государственных организаций играет информационная безопасность.

Одним из методов защиты информации является предотвращение или контроль над системой, работающей с информацией. Для предотвращения ошибок и сбоев работы такой системы необходимо проводить проверки на соответствие с выделенными критериями, чем и занимается аудит информационной безопасности.

Аудит информационной безопасности — представляет собой оценку текущего состояния защищенности и безопасности информационных ресурсов и корпоративных систем организации, на соответствие международным и отечественным стандартам, как регулятора отрасли (ФСТЭК, ЦБ РФ) так и требованиям внутри организации, закрепленных в определенных политиках безопасности. Аудит может проводиться как комплексно (с изучением всей инфраструктуры), так и выборочно — в последнем случае анализируются только определённые объекты, участки, аппаратно-программные компоненты (сети передачи либо хранения данных, серверы и др.).

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

• экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
• активный аудит, включающий механизмы для проверки правильного выполнения существующей политики безопасности, слежения в реальном масштабе времени за отклонениями и выявление вторжения;
• оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК;
• инструментальный анализ защищенности АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
• комплексный аудит.

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, изложенных преимущественно в международных стандартах ИБ. Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

Рисунок 1. Схема проведения аудита и соответствия стандартам

РЕШАЮЩИЕ ДЕРЕВЬЯ

Деревья решений являются одним из наиболее эффективных инструментов интеллектуального анализа данных и предсказательной аналитики, которые позволяют решать задачи классификации и регрессии.

Дерево решений — это метод представления решающих правил в иерархической структуре, состоящей из элементов двух типов — узлов (node) и листьев (leaf). В узлах находятся решающие правила и производится проверка соответствия примеров этому правилу по какому-либо атрибуту обучающего множества.

В простейшем случае, в результате проверки, множество примеров, попавших в узел, разбивается на два подмножества, в одно из которых попадают примеры, удовлетворяющие правилу, а в другое — не удовлетворяющие.

Решающие деревья хорошо описывают процесс принятия решения во многих ситуациях. Например, когда пользователь авторизуется на сайте (Рисунок 1):

1. Проверка роли пользователя. Если пользователь “Администратор”, то переходим на второй уровень, иначе переходим на третий уровень.
2. У администратора включена двухфакторная аутентификация? Если да, то проверка пройдена, иначе выдаем предупреждение, что необходимо включить двухфакторную аутентификацию и завершаем проверку.
3. У обычного пользователя включена двухфакторная аутентификация? Если да, то проверка пройдена, иначе переходим на четвертый уровень.
4. Пользователь является внутренним сотрудником? Если да, то проверка пройдена и выдаем уведомление с рекомендацией настроить двухфакторную аутентификацию, иначе выдаем предупреждение, что необходимо включить двухфакторную аутентификацию и завершаем проверку.

Рисунок 2. Проверка “Разграничение доступа в ОС” методом решающего дерева

ПРИМЕНЕНИЕ РЕШАЮЩИХ ДЕРЕВЬЕВ ДЛЯ АВТОМАТИЗАЦИИ АУДИТА

В данном пункте рассмотрим подход к автоматизации аудита информационной безопасности с использованием решающих деревьев на примере выполнения требований стандарта PCI DSS.

Рисунок 3. Схема проведения аудита ИБ с использованием решающих деревьев

Процесс использования решающих деревьев в аудите информационной безопасности начинается с тщательного анализа и предварительной подготовки данных. Требуется определить ключевые признаки и параметры, которые будут использоваться для обучения модели.

Модель обучается на основе набора обучающих данных, что включает в себя информацию о эталонных вариантах, например, минимальная длина пароля, оптимальные параметры безопасности и логирования, наличие критических уязвимостей, конфигурации установленного ПО, наличие активных сетевых сервисов и используемых протоколов, перечень легитимного программного обеспечения, находящегося на рабочих станциях пользователей информационной системы.

Далее рассмотрим автоматизацию аудита с использованием решающих деревьев на примере стандарта PCI DSS.

PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности данных платежных карт, который разработан с целью обеспечения безопасности информации о картах и транзакциях в системах, обрабатывающих платежные карты.

Стандарт PCI DSS применим для всех организаций, задействованных в процессе обработки платежных карт (которые хранят, передают или обрабатывают данные платежных карт), и разработан для повышения уровня безопасности данных о держателях платежных карт. В стандарте отражаются базовые технические и операционные требования, способствующие достижению этой цели. Там же определены проверочные процедуры для перечисленных требований.

Таблица 1.

Требования и механизмы проверки стандарта PCI DSS

Рассмотрим подробнее механизм проверки требования соответствия парольной политике учетных записей сотрудников и администраторов в корпоративной информационной системе.

Процесс автоматизированной проверки, основанной на решающих деревьях, предполагает несколько ключевых шагов. Ниже подробно рассмотрены основные этапы:

1. Сбор данных

Необходимо собрать данные о текущей парольной политике в организации и паролях и учетных записях по умолчанию во всех средствах защиты. Эти данные могут включать в себя минимальную длину пароля, использование различных типов символов, срок действия паролей и другие параметры политики безопасности

2. Подготовка данных

3. Обучение решающего дерева

4. Тестирование модели

5. Автоматизированная оценка соответствия

6. Генерация отчетов и рекомендации по устранению недостатков

Модель может создавать отчеты, содержащие информацию о пользователях, которые соответствуют требованиям, и тех, которые не соответствуют. Отчеты могут быть использованы администраторами для принятия мер по улучшению безопасности.

Программный код для обучения решающего дерева механизма проверки требования соответствия парольной политике может быть реализован использованием библиотек машинного обучения, таких как scikit-learn на Python и представлен на рисунке 4.

Рисунок 4. Пример реализации проверки на языке программирования Python

ЗАКЛЮЧЕНИЕ

В заключении подведем основные результаты и выводы, полученных в ходе исследования системы автоматизированного аудита информационной безопасности, использующей решающие деревья. Описали, что такое аудит и деревья принятия решений. Продемонстрировали наглядно исполнение потенциального дерева принятий решений. Составили блок-схему принятия решающих деревьев в аудите информационной безопасности корпоративных информационных систем и инфраструктуры и сделали таблицу требований стандарта PSI DSS и механизмов проверки. В перспективе дальнейших исследований данная тема включает в себя углубленный анализ конкретных аспектов работы системы, расширение области применения, улучшение алгоритмов обучения модели или интеграцию с другими методами безопасности.

Список литературы:

1. Клочкова, Т. В. Роль аудита информационных технологий в информационной безопасности [Электронный ресурс] — URL: https://cyberleninka.ru/article/n/rol-audita-informatsionnyh-tehnologiy-v-informatsionnoy-bezopasnosti/viewer (дата обращения: 23.01.2024).
2. Кравчук, Д. И. Аудит безопасности корпоративных информационных систем [Электронный ресурс] — URL: https://moluch.ru/archive/90/19022/ (дата обращения: 23.01.2024).
3. Палагин, Д.А.  Управление защитой информации в корпоративных информационных системах на основе интеллектуальных технологий [Электронный ресурс] — URL: https://dspace.tltsu.ru/bitstream/123456789/12895/1/Палагин%20Д.А._%20ПИмд-1702а.pdf (дата обращения: 23.01.2024).
4. Соколов Е. А. Лекция 3. Решающие деревья. ФКН ВШЭ / 26 января 2018 г. (дата обращения: 27.01.2024).
5. Московский экономический журнал No2. 2019. Понятие и сущность аудита безопасности информационных систем [Электронный ресурс] — URL: https://cyberleninka.ru/article/n/ponyatie-i-suschnost-audita-bezopasnosti-informatsionnyh-sistem/viewer (дата обращения: 27.01.2024).
6. Деревья решений: общие принципы [Электронный ресурс] — URL: https://loginom.ru/blog/decision-tree-p1?roistat_visit=1776809 (дата обращения: 27.01.2024).
7. Автоматизация аудита информационной системы предприятия энергетической инфраструктуры [Электронный ресурс] — URL: https://cyberleninka.ru/article/n/avtomatizatsiya-protsedury-provedeniya-audita-informatsionnoy-bezopasnosti-na-osnove-profilya-zaschity (дата обращения: 27.01.2024).