Решетнеескцие чтения. 2015
Available at: https://rvision.pro/modules/compliancema-nager/ (accessed 25.08.2015).
5. Klyuchevye vozmozhnosti MaxPatrol 8 [Key benefits MaxPatrol 8] (In Russ.). Available at: http://www.ptsecurity.ru/mp8/ (accessed: 25.08.2015).
6. ERPScan Security Monitoring Suite [ERPScan Security Monitoring Suite] (In Russ.). Available at: http://dsec.ru/products/erpscan/ (accessed: 25.08.2015).
© Земцов H. B., 2015
УДК 004.738
ИССЛЕДОВАНИЕ АКТИВНОСТИ АГЕНТОВ УГРОЗ ДЛЯ НОВЫХ ЭЛЕМЕНТОВ
КИБЕРПРОСТРАНСТВА
С. В. Исаев, Н. В. Кулясов
Институт вычислительного моделирования СО РАН Российская Федерация, 660036, г. Красноярск, Академгородок, 50/44 E-mail: [email protected]
Проводится исследование попыток доступа из сети Интернет к новым объектам киберпространства. Предложены методы анализа динамики угроз на основе журналов различных служб. Созданы и опробованы программные средства, проведен сбор данных и их анализ.
Ключевые слова: защита информации, кибербезопасность, компьютерные сети.
RESEARCHING ACTIVITY OF THREAT AGENTS TO THE NEW ELEMENTS OF CYBERSPACE
S. V. Isaev, N. V. Kulyasov
Institute of Computational Modeling SB RAS 50/44, Akademgorodok, Krasnoyarsk, 660036, Russian Federation E-mail: [email protected]
The paper describes the research of access attempts from the Internet to new objects of cyberspace. The research proposes methods of analysis of the dynamics of threats on the basis of logs of various services. Software tools are created and tested and data collection is performed and analysed.
Keywords: protection of information, cybersecurity, computer networks.
Развитие информационно-телекоммуникационных технологий приводит к тому, что все больше сфер человеческой деятельности напрямую оказываются связанными с глобальной информационной сетью Интернет. По данным международного союза электросвязи [1] в течение последних 15 лет происходил беспрецедентный рост информационно-коммуникационных технологий. В период с 2000 по 2015 год плотность пользователей Интернета увеличилась почти в семь раз - с 6,5 до 43 % мирового населения, а число пользователей Интернета достигло 3,2 млрд человек. Практически любая научно-исследовательская и образовательная деятельность предполагает активное использование интернет-пространства [2], что делает вопросы кибербезопасности все более актуальными и злободневными, особенно для организаций ракетно-космической отрасли.
Сравнительно недавно устоявшееся понятие ки-берпространства определяется как сложная среда, возникающая как результат взаимодействия между людьми, программным обеспечением и интернет-сервисами, поддерживаемая посредством распростра-
нения информационно-телекоммуникационных устройств и сетей по всему миру. Основными участниками киберпространства являются пользователи (частные и корпоративные) и операторы (сетей связи и различных телекоммуникационных приложений). Под угрозу ставятся различные активы, в качестве которых могут выступать: информация, программное обеспечение, физические устройства, телекоммуникационные сервисы, люди с их атрибутами (квалификация, умения, опыт), нематериальные активы, такие как репутация и имидж. Также в сфере кибербезопас-ности используется определение «агент угрозы» -человек или группа людей, выполняющих или поддерживающих атаку. Под уязвимостью актива понимают слабости в защите актива или управления, которая может использоваться угрозой.
Целью работы являлось исследование активности агентов угроз, направленных на новые элементы ки-берпространства, какими являются созданные интернет-сервисы, службы и компьютерные сети. Для этого был создан модельный сетевой стенд по типу darknet, на котором размещены программные средства по сбо-
Методы и средства защиты информации
ру информации и некоторые популярные сервисы для более детального изучения входящих запросов. Для стенда было выделено 253 интернет-адреса, которые до этого были недоступны в сети Интернет, таким образом обращение к данному подмножеству адресов возможно лишь в результате ошибок конфигурации или нелегитимных действий, например, в целях первичной разведки путем сканирования [3].
В качестве операционной системы (ОС) стенда выступила ОС FreeBSD с установленными следующими сервисами: веб-сервером Apache, FTP-сервером Pure-FTPd и настроенным файрволом IPFW. Для сбора информации о действиях агентов угроз было настроено ведение Log-файлов для дальнейшего их анализа и получения статистики угроз.
В связи с тем, что за период функционирования стенда был получен большой объём данных (Log-файлов), для решения проблемы их анализа было разработано программное обеспечение, осуществляющие обработку журналов веб-сервера, FTP-сервера и файр-вола.
Программное обеспечение состоит из PHP-демона для nix-образных операционных систем (привязка к nix-системам обоснована активным использованием стандартных средств операционных систем данного семейства), MySQL базы данных для хранения полученных данных, веб-интерфейса для отображения статистики об агентах угроз.
Анализ проводится по следующему алгоритму: раз в час демон выделяет фрагменты Log-файлов серви-
сов с записями за предыдущий час, фильтрует их от действий локальных пользователей, после чего анализирует фрагменты журналов сервисов на предмет угроз и при обнаружении производит запись в базу данных. Опытным путем была произведена настройка параметров поиска и проведен анализ журналов за несколько недель, который позволил выявить несколько похожих на атаки воздействий.
После анализа данных были получены следующие результаты:
1. Активность входящих соединений возникает практически сразу после появления в киберпространстве. Так, например, на рис. 1 показано, что первые попытки доступа появляются сразу после включения сервиса.
2. Периоды сильной активности отличаются от повседневного режима возрастающим на порядок количеством попыток доступа.
3. Неравномерность попыток доступа к различным сервисам (рис. 2) свидетельствует о неслучайном режиме.
На основе проделанного анализа можно сделать выводы о необходимости заблаговременной защиты элементов киберпространства, возможности распознавания атак по увеличению интенсивности, а также выявить наиболее подверженные риску сервисы. В целом, следует отметить результативность предложенного подхода к анализу активности агентов угроз и необходимости его расширения на более длительные периоды времени и более широкий набор элементов для детального анализа.
Рис. 1. Количество угроз для веб- и FTP-сервера
7000000 6000000 5000000 4000000 3000000 2000000 1000000 о
6577609
5498836
630351 522919 316179 291856 106948 86898 73977 71103 HTTP HTTPS HTTP alt Те let S 3 SSH
Рис. 2. Количество запросов к сервисам
RDP RAdrmin My SQL Micrcscft
SGL
Решетнееские чтения. 2015
Библиографические ссылки
1. ICT Facts and Figures - The world in 2015 [Электронный ресурс] // Международный союз электросвязи : офиц. сайт. URL: http://www.itu.int/en/ITU-D/ Statistics/Pages/facts/default.aspx (дата обращения: 10.09.2015).
2. Исаев С. В. Анализ динамики интернет-угроз сети Красноярского научного центра СО РАН // Вестник СибГАУ. 2012. Вып. 3(43). С. 20-25.
3. Марков А. С., Цирлов В. А. Руководящие указания по кибербезопасности в контексте ISO 27032 // Вопросы кибербезопасности. 2014. Вып. 1(2). С. 28-35.
References
1. ICT Facts and Figures - The world in 2015 [Electronic resource] // International Telecommunication Union. [Official website]. URL: http://www.itu.int/en/ ITU-D/Statistics/Pages/facts/default.aspx (accessed: 10.09.2015).
2. Isaev S.V. Analiz dinamiki internet-ugroz seti Krasnoyarskogo nauchnogo centra SO RAN // Vestnik SibGAU. 2012. No. 3(43), pp. 20-25.
3. Markov A. S. Tsirlov V. L. Guidelines for cybersecurity in the context of ISO 27032 // Cybersecurity issues. 2014. No. 1(2), pp. 28-35.
© HcaeB C. B., KyracoB H. B., 2015
УДК 004.056
О ПРИМЕНЕНИИ IEEE 802.1X ПРИ ВНЕДРЕНИИ BYOD В КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СИСТЕМАХ
В. К. Калачёв
Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: [email protected]
Рассматривается процесс внедрения системы контроля доступа на основе стандарта IEEE 802.1x для организации контроля подключений устройств пользователей к корпоративным информационным системам в рамках BYOD.
Ключевые слова: информационная безопасность, IEEE 802.1x, BYOD.
TO APPLICATION OF THE IEEE 802.1X WHEN IMPLEMENTING BYOD IN CORPORATE INFORMATION SYSTEMS
V. K. Kalachev
Reshetnev Siberian State Aerospace University 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: [email protected]
The article studies process of access control implementation based on standard IEEE 802.1x for the organization of control user's device connections to corporate information systems in the framework of BYOD.
Keywords: information security, IEEE 802.1x, BYOD.
Одной из тенденций развития современных информационных технологий является концепция использования сотрудниками предприятия собственных устройств (Bring Your Own Device, BYOD), т. е. сотрудник компании, имея у себя любое мобильное устройство (ноутбук, нетбук, планшет и т. д.), сможет иметь доступ к необходимым корпоративным информационным ресурсам для выполнения своих производственных задач [1]. Рост популярности данной концепции обусловлен тем, что большинство сотрудников предпочитают пользоваться личными устройствами, которые зачастую оказываются лучше, чем предоставляемые предприятием. Но, несмотря на все свои достоинства, на сегодняшний день использова-
ние данной концепции вызывает вопросы, связанные с обеспечением информационной безопасности (ИБ), один из которых - как определить, является ли устройство BYOD, подключаемое к локальной вычислительной сети (ЛВС), легитимным устройством сотрудника, а не злоумышленника. Внедрение в информационную систему (ИС) предприятия системы контроля доступа за подключениями к ЛВС позволило бы устранить данную угрозу и послужить достаточным базисом для внедрения других мер по обеспечению ИБ в ИС с концепцией BYOD.
Как правило, внедрение какого-либо рода средств защиты информации накладывает на мобильные устройства сотрудников и оборудование предприятия