Репозиторій ЧДТУ
Репозиторій ЧДТУ зберігає і дозволяє легкий і відкритий доступ до всіх видів цифрового контенту, включаючи текст, зображення, анімовані зображення, MPEG і набори даних
Дізнатися більше
Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал:
https://er.chdtu.edu.ua/handle/ChSTU/6870| Назва: | Підсистема захисту інформаційної інфраструктури організації від негативних кібернетичних впливів |
| Автори: | Панаско, Олена Миколаївна Дука, Олексій Вікторович |
| Ключові слова: | IDS;SURICATA;SNORT;UBUNTU;IPS;системи виявлення вторгнень |
| Дата публікації: | 2023 |
| Короткий огляд (реферат): | "Метою роботи є дослідження, розробка та аналіз підсистеми захисту інформаційної інфраструктури від негативних кібернетичних впливів. Завдання: Проаналізовано нормативно-правове регулювання; Розроблено підсистему захисту інформаційної інфраструктури; Застосування розробленої підсистеми захисту на практиці; Досліджено та проаналізовано сігнатури атак, а також налаштування системи виявлення вторгнень Suricata " |
| URI (Уніфікований ідентифікатор ресурсу): | https://er.chdtu.edu.ua/handle/ChSTU/6870 |
| Розташовується у зібраннях: | 125 Кібербезпека та захист інформації (Безпека інформаційних і комунікаційних систем) |
Файли цього матеріалу:
| Файл | Опис | Розмір | Формат | |
|---|---|---|---|---|
| Б_125_Дука_Панаско.pdf Restricted Access | 2.86 MB | Adobe PDF | Переглянути/Відкрити Запит копії |
Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.
Extracted text
МІНІСТЕРСТВО ОСВІТИ І НАУКИ УКРАЇНИ
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
ФАКУЛЬТЕТ ЕЛЕКТРОННИХ ТЕХНОЛОГІЙ,
АВТОТРАНСПОРТУ ТА МАШИНОБУДУВАННЯ
КАФЕДРА РОБОТОТЕХНІЧНИХ І ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
ТА КІБЕРБЕЗПЕКИ
До захисту допущено
завідувач кафедри РТСК
д.т.н., професор
_______________ В.В. Палагін
"_____" _____________ 2023 року
Пояснювальна записка
до дипломного роботи
бакалавра
(освітньо-кваліфікаційний рівень)
на тему Реалізація підсистеми криптографічного захисту інформаційних
ресурсів на базі алгоритму AES
Виконав: студент 4 курсу, групи БІ-91+ск
Спеціальності 125 – «Кібербезпека»,
(шифр і назва спеціальності)
освітньої програми «Безпека інформаційних і
комунікаційних систем»
(назва освітньої програми)
Дука О.В.
(прізвище та ініціали)
Керівник Панаско О.М.
(прізвище та ініціали)
Рецензент
(прізвище та ініціали)
Черкаси – 2023 року
Форма № Н-9.01
ЧЕРКАСЬКИЙ ДЕРЖАВНИЙ ТЕХНОЛОГІЧНИЙ УНІВЕРСИТЕТ
Факультет електронних технологій, автотранспорту та машинобудування
Кафедра робототехнічних і телекомунікаційних систем та кібербезпеки
Освітньо-кваліфікаційний рівень бакалавр
Спеціальність 125 – Кібербезпека
Освітня програма – Безпека інформаційних і комунікаційних систем
ЗАТВЕРДЖУЮ
Завідувач кафедри В.В. Палагін
“_____” ___________________ 2023 року
ЗАВДАННЯ
НА ВИПУСКНУ РОБОТУ СТУДЕНТУ
Дуці Олексію Вікторовичу
(прізвище, ім’я, по батькові)
1. Тема проекту (роботи) Реалізація підсистеми криптографічного захисту
інформаційних ресурсів на базі алгоритму AES
керівник проекту (роботи) Панаско Олена Миколаївна
(прізвище, ім’я, по батькові, науковий ступінь, вчене звання)
затверджені наказом вищого навчального закладу від «28» 02 2023 року № 45/04
2. Термін здачі студентом закінченої роботи «05» 06 2023 року_________
3. Вихідні дані до роботи: Модель MITRE, та OWASP. Опис кібернетичних загроз їх видів.
Огляд методів та засобів захисту від кібернетичних загроз. Модель порушника
4. Зміст розрахунково-пояснювальної записки (перелік питань, що їх належить розробити)
Вступ; Опис кібернетичних загроз їх видівації; Огляд методів та засобів захисту від
кібернетичних загроз; Модель MITRE, та OWASP; Системи виявлення вторгнень та
систем запобігання вторгнень; Рекомендації щодо оцінки системи виявлення вторгнень;
Cигнатура систем виявлення атак; Налаштування Suricata; Висновки; Список
використаних джерел.
5. Перелік графічного матеріалу (з точним зазначенням обов’язкових креслень, плакатів):
Мета та актуальність дослідження, Огляд методів та засобів захисту від
кібернетичних загроз; Локальна Архітектура системи IDS; Глобальна архітектура
cистеми IDS; Методи виявлення аномалій/вторгнень; Налаштування Suricata;
Тестування правил Suricata; Обстеження /var/log/suricata/eve.log.
.
6. Консультанти з проекту (роботи) із зазначенням розділів проекту, що їх стосуються
Розділ Прізвище, ініціали та посада Підпис, дата
консультанта завдання завдання
видав прийняв
7. Дата видачі завдання 28 лютого 2023 року
КАЛЕНДАРНИЙ ПЛАН
№ Назва етапів дипломного Строк виконання
з/п проекту (роботи) етапів проекту Примітка
(роботи)
1. Пошук і аналіз інформації по заданій темі 28.02.2023-
10.03.2023
2. Написання 1-го розділу: Теоретичні основи 11.03.2023-
виявлення фішингових веб-сайтів 25.03.2023
3. Написання 2-го розділу: Методи та моделі 26.03.2023-
машинного навчання для виявлення фішингу 10.04.2023
4. Написання 3-го розділу: Розробка та реалізація 11.04.2023-
системи автоматичного виявлення фішингових 09.05.2023
сайтів
5. Написання вступу і висновків, складання 10.05.2023-
списку літератури 19.05.2023
6. Оформлення пояснювальної записки 20.05.2023-
29.05.2023
7. Оформлення плакатів презентації 30.05.2023-
05.06.2023
Студент Дука О.В
( підпис ) (прізвище та ініціали)
Керівник проекту (роботи) Панаско О.М.
( підпис ) (прізвище та ініціали)
ЗМІСТ
ВСТУП..............................................................................................................................5
РОЗДІЛ 1..........................................................................................................................9
АКТУАЛЬНІСТЬ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ
ВІД НЕГАТИВНИХ КІБЕРНЕТИЧНИХ ВПЛИВІВ................................................... 9
1.1 Опис кібернетичних загроз їх видів ........................................................................ 9
1.2 Огляд методів та засобів захисту від кібернетичних загроз ...............................10
1.3 Нормативно правове регулювання в сфері забезпечення захисту від
кібернетичних загроз.....................................................................................................13
1.4 Модель MITRE, та OWASP....................................................................................20
1.5 Модель порушника..................................................................................................23
РОЗДІЛ 2........................................................................................................................26
МЕТОДИ ТА ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЙНОЇ ІНФРАСТРУКТУРИ ВІД
НЕГАТИВНИХ КІБЕРНЕТИЧНИХ ВПЛИВІВ.........................................................26
2.1 Роль та функції мережевого екрана в забезпеченні безпеки мережі..................26
2.2 Системи виявлення вторгнень та систем запобігання вторгнень.......................31
2.3 Огляд методів виявлення аномалій/вторгнень.....................................................41
2.4 Рекомендації щодо оцінки системи виявлення вторгнень..................................43
2.5 Опис, порівняння між собою Snort та Suricata. .................................................... 47
РОЗДІЛ 3........................................................................................................................51
ФОРМУВАННЯ ПІДСИСТЕМИ ЗАХИСТУ ВІД НЕГАТИВНИХ
КІБЕРНЕТИЧНИХ ВПЛИВІВ.....................................................................................51
3.1 Cигнатура систем виявлення атак..........................................................................51
3.2 Інциденти безпеки...................................................................................................53
3.3 Налаштування Suricata............................................................................................62
ВИСНОВОК...................................................................................................................77
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ...............................................................79
ЧДТУ.23.21039.007 ПЗ
Зм. Арк. № докум. Підпис Дата
Розроб. Гоцуц О.Д. Реалізація підсистеми Літ. Аркуш Аркушів
Перевір. Панаско О.М. криптографічного захисту 4 89
інформаційних ресурсів на базі
Н.Контрол. Байрак А.В. алгоритму AES ЧДТУ, БІ-91+ск
Затвердж. Палагін В.В.
ВСТУП
Актуальність проблеми забезпечення кібербезпеки в сучасному світі набуває
все більшого значення в контексті стрімкого розвитку інформаційних технологій
та зростання кількості кіберзагроз. Захист інформаційної інфраструктури від
негативних кібернетичних впливів стає необхідністю для підтримки стабільної та
безпечної роботи сучасних організацій, установ та державних структур.
Актуальність даного дослідження полягає в тому, що захист інформаційної
інфраструктури від негативних кібернетичних впливів стає невід'ємною потребою
в сучасному світі. Ось деякі аспекти актуальності дослідження:
Збільшення кількості та складності кіберзагроз: Сучасні кібернетичні загрози
стають все більш витонченими та складними, що ускладнює їх виявлення та
протидію. Необхідність розробки ефективних методів та підходів до захисту
інформаційної інфраструктури від цих загроз є надзвичайно актуальною.
Важливість кібербезпеки для організацій: Організації, незалежно від розміру
та галузі, все більше залежать від своїх інформаційних систем для забезпечення
своєї ділової діяльності. Вразливість цих систем перед кібератаками може
призвести до серйозних наслідків, включаючи втрату даних, порушення
конфіденційності та фінансові втрати. Захист інформаційної інфраструктури від
кібернетичних загроз є невід'ємною складовою стратегії кібербезпеки для
організацій.
Зростання обсягу та важливості цифрових даних: Збільшення обсягу та
важливості цифрових даних ставить перед організаціями виклик забезпечити їх
захист від кібернетичних загроз. Дослідження ефективних методів захисту та
підсистем, спрямованих на захист інформаційної інфраструктури, стає критично
важливим у забезпеченні цілісності, конфіденційності та доступності цих даних.
Постійна зміна кібернетичних загроз: Кіберзлочинці постійно адаптуються
та розвивають нові методи та техніки атак. Це створює потребу в постійному
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 5
а
дослідженні та вдосконаленні підсистем захисту для ефективного виявлення,
відстеження та запобігання цим загрозам.
Таким чином, дане дослідження є актуальним і важливим для розробки та
вдосконалення підсистем захисту інформаційної інфраструктури від негативних
кібернетичних впливів, забезпечуючи безпеку та стійкість інформаційних систем
у сучасному цифровому середовищі.
Аналіз методів захисту: Огляд і вивчення різних методів та засобів захисту
від кібернетичних загроз, включаючи системи виявлення вторгнень (IDS) та
системи запобігання вторгнень (IPS), мережеві екрани та методи виявлення
аномалій/вторгнень.
Вивчення кібернетичних загроз: Детальний аналіз різних видів
кібернетичних загроз, їхніх характеристик, методів та технік, які використовуються
зловмисниками для здійснення атак на інформаційну інфраструктуру.
Метою даної дипломної роботи є дослідження, розробка та аналіз
підсистеми захисту інформаційної інфраструктури від негативних кібернетичних
впливів. Конкретні цілі роботи включають:
Нормативно-правове регулювання: Аналіз нормативно-правового
регулювання в галузі кібербезпеки та захисту інформаційної інфраструктури,
включаючи відповідні законодавчі акти та стандарти.
Розробка підсистеми захисту: Розроблення підсистеми захисту
інформаційної інфраструктури, яка включатиме в себе ефективні методи
виявлення, аналізу та реагування на кібернетичні загрози.
Експериментальне дослідження та аналіз: Застосування розробленої
підсистеми захисту на практиці, проведення експериментів та аналіз її
ефективності у виявленні та запобіганні кібератак.
Розгляд сігнатур атак, інцидентів та налаштування: Дослідження та аналіз
сігнатур атак, вивчення інцидентів безпеки, а також налаштування системи
виявлення вторгнень Suricata.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 6
а
На основі досягнутих результатів ця робота сприятиме розумінню та
розвитку методів захисту інформаційної інфраструктури від кібернетичних загроз
та сприяти безпеці та стійкості інформаційних систем у сучасному цифровому
середовищі.
Об'єктом дослідження даної дипломної роботи є інформаційна
інфраструктура. Інформаційна інфраструктура включає всі компоненти, ресурси,
технології та процеси, що використовуються для зберігання, обробки, передачі та
управління інформацією в організаціях.
Дослідження спрямоване на захист цієї інформаційної інфраструктури від
негативних кібернетичних впливів. Об'єктом аналізу є уразливості, загрози, атаки
та інші небажані впливи, що можуть спричинити порушення безпеки,
конфіденційності, цілісності та доступності інформаційних систем.
Дослідження охоплює як технічні аспекти, такі як системи виявлення
вторгнень, мережеві екрани та методи виявлення аномалій/вторгнень, так і
нормативно-правові аспекти, що регулюють захист інформаційної інфраструктури.
Результати дослідження стануть основою для розробки та впровадження
підсистеми захисту, яка буде спроможна ефективно виявляти, аналізувати та
реагувати на кібернетичні загрози, що впливають на інформаційну інфраструктуру.
Предметом дослідження даної дипломної роботи є підсистема захисту
інформаційної інфраструктури від негативних кібернетичних впливів.
Конкретно, дослідження спрямоване на аналіз та розробку методів, засобів
та практичних рекомендацій щодо захисту інформаційної інфраструктури від
різних видів кібернетичних загроз, таких як зловмисні атаки, вторгнення, витоки
даних та інші небажані впливи.
В аспекті предмета дослідження знаходиться вивчення та аналіз методів
виявлення, аналізу та запобігання кібернетичним загрозам, включаючи системи
виявлення вторгнень (IDS), системи запобігання вторгнень (IPS), мережеві екрани
та методи виявлення аномалій/вторгнень.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 7
а
Дослідження також охоплює аналіз нормативно-правового регулювання в
галузі кібербезпеки та захисту інформаційної інфраструктури, а також
налаштування та аналіз сігнатур атак, інцидентів та системи виявлення вторгнень
Suricata.
Предмет дослідження є важливим для розробки та вдосконалення підсистем
захисту, спрямованих на забезпечення безпеки, конфіденційності, цілісності та
доступності інформаційних систем в умовах постійно зростаючих кібернетичних
загроз.
Отримані результати дослідження дозволять покращити розуміння процесів
захисту інформаційної інфраструктури від кібернетичних загроз, а також
розробити рекомендації щодо впровадження ефективних захисних заходів.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 8
а
РОЗДІЛ 1
АКТУАЛЬНІСТЬ СИСТЕМ ЗАХИСТУ ІНФОРМАЦІЙНОЇ
ІНФРАСТРУКТУРИ ВІД НЕГАТИВНИХ КІБЕРНЕТИЧНИХ ВПЛИВІВ
1.1 Опис кібернетичних загроз їх видів
Вивчення кібернетичних загроз та їх різновидів є важливою складовою
дослідження в галузі захисту інформаційної інфраструктури. Кібернетичні загрози
є потенційними ризиками безпеки, що виникають у кіберпросторі і спрямовані на
порушення цілісності, конфіденційності та доступності інформації, що
зберігається, обробляється та передається за допомогою комп'ютерних систем.[3]
Основні види кібернетичних загроз включають:
Віруси: це програмне забезпечення, що приховано в іншому програмному
забезпеченні, і може виконувати дії, які загрожують безпеці.
Черви: це програмне забезпечення, яке може самостійно розмножуватися та
поширюватися через комп'ютерні мережі.
Троянські коні: це програмне забезпечення, яке приховано в безпечному
вигляді та виконує дії, що загрожують безпеці.
Фішинг: це метод отримання конфіденційної інформації, такої як імена
користувачів, паролі, номери кредитних карток і т.д., шляхом підманювання
користувача.
Соціальний інжиніринг: це метод маніпулювання психологічним станом
людей з метою отримання конфіденційної інформації або здійснення шахрайства.
Атаки на слабкі місця: це атаки на уразливості в комп'ютерній системі, такі
як незахищені порти, програмні дефекти та інші уразливості, які можуть
використовуватися зловмисниками для злому системи.
Атаки з використанням шкідливого програмного забезпечення: це програмне
забезпечення, що виконує дії, що загрожують безпеці, такі як крадіжка
конфіденційної інформації, шпигунство, виконання шкідливих команд на
комп'ютері і т.д.[5]
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 9
а
DDoS-атаки: це атаки, спрямовані на перевантаження комп'ютерних систем,
серверів та мереж з метою перешкодити їхній нормальній роботі.
Мережеві атаки: це атаки, спрямовані на порушення безпеки мережі, такі як
перехоплення даних, перехоплення трафіку, атаки на маршрутизатори, фізичні
атаки на обладнання мережі та інші.
Крім того, існує загроза внутрішніх загроз, таких як крадіжка, втрата або
зловживання інформацією з боку працівників, які мають доступ до системи.
Розуміння цих різновидів кібернетичних загроз дозволяє розробляти
ефективні заходи для захисту інформаційної інфраструктури від негативних
кібернетичних впливів. Це може включати розробку заходів для забезпечення
безпеки мережі, захисту від вірусів та шкідливого програмного забезпечення,
використання криптографічних методів для захисту конфіденційної інформації та
інші заходи захисту, спрямовані на запобігання та реагування на кібернетичні
загрози.
Важливо враховувати, що кібернетичні загрози постійно змінюються і
стають все більш складними, тому необхідно використовувати сучасні методи
захисту, які відповідають актуальним вимогам безпеки.[5]
1.2 Огляд методів та засобів захисту від кібернетичних загроз
Огляд методів та засобів захисту від кібернетичних загроз є важливим
елементом дослідження в галузі кібербезпеки. Існує широкий спектр методів та
засобів, які використовуються для запобігання, виявлення та реагування на
кібернетичні загрози. Ось огляд деяких з них:
Міжмережеві єкрани є першим рівнем захисту мережі і комп'ютерних систем.
Вони контролюють трафік мережі і фільтрують його на основі заздалегідь
встановлених правил. Міжмережеві єкрани допомагають запобігти
несанкціонованому доступу до системи і захищають її від зловмисних атак.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 10
а
Антивірусне програмне забезпечення (Antivirus Software): Антивірусне
програмне забезпечення призначене для виявлення, блокування та видалення
вірусів, червів, троянських програм та іншого шкідливого програмного
забезпечення. Воно регулярно оновлюється для розпізнавання нових загроз і
забезпечення надійного захисту.
Системи виявлення вторгнень (Intrusion Detection Systems, IDS): IDS
виявляють недоступність, вторгнення або аномалії в мережі або системі. Вони
моніторять мережевий трафік та системні журнали для виявлення ненормальної
або підозрілої активності. IDS можуть сповіщати про можливі вторгнення та
забезпечувати реагування на них.
Системи виявлення та відповіді на інциденти (Incident Detection and Response
Systems): Ці системи забезпечують моніторинг, виявлення та реагування на
кібернетичні інциденти. Вони допомагають швидко розпізнавати та реагувати на
загрози, вживаючи відповідних заходів для відновлення безпеки системи.[9]
Системи криптографічного захисту (Cryptography Systems): Криптографічні
методи використовуються для захисту конфіденційності, цілісності та
автентичності інформації. Вони використовують різні алгоритми шифрування для
захисту даних під час передачі та зберігання. Для реалізації криптографічних
методів захисту використовуються різні криптографічні алгоритми та протоколи,
такі як AES, RSA, SSL, TLS та інші.
Безпечні мережеві протоколи: Використання безпечних мережевих
протоколів, таких як HTTPS, SSL/TLS, SSH, допомагає захистити комунікацію та
передачу даних в мережі від перехоплення та зловживання.
Навчання та підвищення обізнаності користувачів: Одним з найважливіших
аспектів захисту від кібернетичних загроз є підвищення обізнаності користувачів.
Навчання персоналу щодо безпеки в ІТ, правил безпеки, усвідомлення соціального
інжинірингу та фішингу може зменшити ризик успішних атак.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 11
а
Аудит та моніторинг безпеки: Аудит та моніторинг системи допомагають
виявляти потенційні вразливості, аномалії та незвичайну активність. Це дозволяє
вчасно реагувати на загрози та запобігати інцидентам безпеки.
Резервне копіювання та відновлення даних: Регулярне резервне копіювання
даних і наявність механізмів відновлення допомагають у випадку втрати даних або
атаки з викраденням інформації.
Системи контролю доступу: Використання систем контролю доступу, таких
як паролі, біометричні методи, двофакторна аутентифікація тощо, допомагає
обмежити доступ до системи тільки для авторизованих користувачів.
Враховуючи постійний розвиток кібернетичних загроз, важливо поєднувати
та вдосконалювати різні методи та засоби захисту. Комплексний підхід до
кібербезпеки, включаючи технічні, організаційні та людські аспекти, є ключем до
ефективного захисту від кібернетичних загроз.[1]
Стандарти кібербезпеки: ISO 27001 Це один із загальних стандартів, яких
дотримується організація щодо впровадження системи управління інформаційною
безпекою. Він складається з набору процедур, в яких зазначаються правила та
вимоги, які повинні бути задоволені, щоб організація отримала сертифікацію цього
стандарту. Відповідно до цього стандарту, організація повинна постійно
оновлювати всю технологію, сервери повинні існувати без уразливих ситуацій, і
організація повинна бути проведена аудит після встановленого інтервалу, щоб
залишатися компільованим до цього стандарту. Це міжнародний стандарт, і кожна
організація, яка обслуговує іншу організацію, яка відповідає цьому стандарту,
повинна відповідати політиці ISMS, яка охоплюється практикою ISO 27001.
PCI DSS розшифровується як стандарт захисту даних платіжних карток. Це
може розглядатися як стандарт, який повинен бути обраний організацією, яка
приймає оплату через свій шлюз. Підприємства, які зберігають дані користувачів,
такі як їх ім’я та інформацію, пов’язану з карткою, повинні прийняти цей стандарт
у своїй організації. Відповідно до цієї відповідності, технології, що
використовуються організацією, повинні бути сучасними, і їх система повинна
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 12
а
постійно проходити оцінку безпеки, щоб переконатися, що вона не має серйозної
вразливості. Цей стандарт був розроблений кластером брендів карт (American
Express, Visa, MasterCard, JCB та Discover).
HIPAA означає Закон про переносність та підзвітність медичного
страхування. Лікарні повинні дотримуватися стандартів, щоб забезпечити повний
захист даних своїх пацієнтів і не можна їх витікати. Для того, щоб відповідати
цьому стандарту, лікарня повинна мати потужну команду з безпеки мережі, яка
піклується про всі інциденти безпеки, їх квартальні звіти про безпеку повинні бути
здоровими, усі транзакції повинні здійснюватися в зашифрованому режимі тощо.
Цей стандарт гарантує, що важлива інформація, пов'язана зі здоров’ям пацієнта,
залишатиметься безпечною, щоб пацієнт міг почуватись у безпеці щодо свого
здоров'я.
GDPR означає загальне положення про захист даних. Це стандарт,
визначений європейським урядом, який стурбований захистом даних усіх
користувачів. У цьому стандарті орган, який повинен керувати дотриманням норм,
повинен переконатися, що дані користувача захищені та не можна отримати доступ
без відповідного дозволу. Як зазначається в назві, цей стандарт в основному
зосереджений на безпеці даних користувача, щоб вони могли відчувати себе в
безпеці під час обміну ним з будь-якою з організацій, які дотримуються Загального
регламенту захисту даних.[6]
1.3 Нормативно правове регулювання в сфері забезпечення захисту від
кібернетичних загроз
Поняття інформаційної безпеки не обмежується безпекою технічних
інформаційних систем або інформації в цифровій чи електронній формі, а
стосується всіх аспектів захисту даних та інформації, незалежно від форми, в якій
вона зберігається.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 13
а
Поняття інформаційних технологій (ІТ) охоплює широкий спектр дисциплін
і сфер діяльності та відноситься до технічних засобів обробки та передачі даних
(або інформації).
В англійській мові поняття безпеки ІТ має два значення. Поняття
функціональної безпеки означає, що система правильно і повністю реалізує тільки
ті цілі, які задовольняють наміри власника, тобто працює відповідно до поточних
вимог. Поняття інформаційної безпеки стосується безпеки технічних процесів
обробки інформації і є характеристикою функціонально захищеної системи. Такі
системи повинні запобігати несанкціонованому доступу до даних і запобігати
втраті даних у разі збою.
З метою цілеспрямованого впровадження стандартів інформаційної безпеки
(як механізмів захисту та запобігання) інформаційні системи можна розділити на
три частини програмне забезпечення, апаратне забезпечення та комунікації. Самі
механізми захисту реалізуються на трьох рівнях або шарах: фізичному,
персональному та організаційному. В основному, впровадження політик і процедур
безпеки спрямоване на інформування менеджерів, користувачів і операторів про
те, як правильно використовувати готові рішення для забезпечення безпеки.
Для характеристики основних властивостей інформації як об'єкта захисту
часто використовують модель CIA:
- Конфіденційність - властивість інформації, яка означає, що інформація не
може бути використана несанкціонованими користувачами.
- Цілісність - передбачає неможливість модифікації інформації
несанкціонованими користувачами.
- Доступність - властивість інформації, яка означає, що інформація може
бути отримана авторизованими користувачами, як тільки вона їм знадобиться, за
умови, що вони мають відповідні повноваження.
Крім того, виділяють наступні характеристики
- Незаперечність - можливість довести, що автором є саме заявлена особа
(юридична особа) і ніхто інший.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 14
а
- Підзвітність - властивість інформаційної системи, яка фіксує дії
користувачів та використання пасивних об'єктів і може однозначно ідентифікувати
автора певної дії в системі.
- Достовірність - характеристика інформації, яка визначає ступінь
об'єктивності та точності відображення нею подій і фактів, що відбулися.
- Автентичність. (Автентичність - це властивість гарантувати, що суб'єкт або
джерело відповідає заявленому.
Принципами забезпечення інформаційної безпеки є законність,
збалансованість інтересів особи, суспільства і держави, комплексність,
системність, інтеграція з міжнародними системами безпеки та економічна
В Україні ІБ забезпечується захистом інформації, де необхідність захисту
інформації передбачена законодавством у сфері інформаційної безпеки. Для
здійснення захисту інформації створюється комплексна система захисту
інформації (КСЗІ).[4]
Або ж оператор ІС прагне розробити та впровадити політику ІБ, за
допомогою якої це можна зробити, не порушуючи вимог законодавства:
- Міжнародні стандарти ISO, такі як ISO/IEC 27018, 27005 - для рішень на
основі ITIL та COBIT. І система управління інформаційною безпекою (СУІБ), яка
повинна відповідати всім вимогам міжнародних стандартів безпеки.
Основні закони інформаційної безпеки
Закон про захист персональних даних: Багато країн мають законодавчі акти,
які регулюють збір, обробку та зберігання персональних даних. Ці закони
встановлюють правила для організацій щодо забезпечення конфіденційності,
цілісності та доступності персональних даних.
Закон про кібербезпеку: Деякі країни мають спеціальні законодавчі акти,
які регулюють кібербезпеку та протидію кіберзлочинності. Ці закони
встановлюють стандарти та вимоги щодо захисту інформації, протидії хакерським
атакам та іншим загрозам кібербезпеці.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 15
а
1. Закон України "Про основні засади забезпечення кібербезпеки
України" - цей закон визначає загальні принципи та основні підходи до
забезпечення кібербезпеки в Україні, а також визначає відповідальність органів
державної влади та інших суб'єктів у сфері кібербезпеки.
2. Закон України "Про захист персональних даних" - цей закон
встановлює правові норми, що регулюють збір, зберігання, використання та захист
персональних даних громадян.
3. Закон України "Про інформацію" - цей закон встановлює загальні
принципи та правила використання, захисту та розповсюдження інформації,
включаючи електронну інформацію.
4. Закон України "Про кіберполіцію" - цей закон визначає структуру та
повноваження кіберполіції України, яка займається боротьбою з кіберзлочинністю
та захистом кіберпростору.
Закон про інтелектуальну власність: Законодавчі акти, що регулюють
інтелектуальну власність, такі як авторські права, патенти та товарні знаки, також
мають важливе значення для інформаційної та кібербезпеки. Вони захищають
права власників інтелектуальної власності та регулюють використання технологій
та інформації.
Закон про кіберзлочинність: Кіберзлочинність стає все більшою
проблемою, тому багато країн впроваджують закони, які криміналізують різні види
кіберзлочинності, такі як несанкціонований доступ до комп'ютерних систем,
крадіжка ідентифікаційних даних, кібершантаж та інші злочини, пов'язані з
використанням комп'ютерної технології.
1. Кримінальний кодекс України - Розділ XV "Комп'ютерні злочини".
Цей розділ містить статті, які визначають кримінальну відповідальність за
кіберзлочини, такі як несанкціонований доступ до комп'ютерних систем,
розповсюдження вірусів, шахрайство в інтернеті та інші види кіберзлочинів.
2. Закон України "Про оперативно-розшукову діяльність" - цей закон
визначає правові засади проведення оперативно-розшукової діяльності,
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 16
а
включаючи боротьбу з кіберзлочинністю. Він надає право органам державної влади
здійснювати оперативно-розшукові заходи для виявлення та припинення
кіберзлочинів.[2]
3. Закон України "Про організацію запобігання та протидії корупції" -
цей закон містить положення про кримінальну відповідальність за корупцію в
інформаційно-комунікаційних системах, такі як хабарництво в мережі Інтернет або
використання комп'ютерних систем для зловживання владою.
Закони про захист критичної інфраструктури: Деякі країни мають закони,
що стосуються захисту критичної інфраструктури, такої як електроенергетика,
телекомунікації, транспортні системи тощо. Ці закони встановлюють вимоги щодо
захисту цих систем від кібератак та інших загроз.
Законодавство про обов'язкову звітність про порушення безпеки даних:
У деяких юрисдикціях існують закони, що вимагають, щоб організації повідомляли
про порушення безпеки даних, якщо такі порушення можуть спричинити шкоду
користувачам або клієнтам.
НД (Наказ Державної служби спеціального зв'язку та захисту інформації
України) ТЗІ (технічні заходи захисту інформації) є документом, що встановлює
вимоги до засобів захисту інформації та правила їх застосування. Цей наказ
видається українськими органами, відповідальними за захист інформації, і містить
вказівки та рекомендації для організацій та підприємств щодо застосування
технічних засобів захисту інформації.
Основні питання, що врегульовуються в НД ТЗІ, включають:
Класифікація інформації: НД ТЗІ визначає процедури класифікації
інформації залежно від її важливості та рівня конфіденційності.
Вимоги до засобів захисту інформації: Документ встановлює технічні вимоги
до засобів захисту інформації, таких як криптографічні алгоритми, системи
аутентифікації, засоби контролю доступу та інші.
Процедури інсталяції та налаштування засобів захисту: НД ТЗІ містить
вказівкищодо інсталяції, налаштування та експлуатації засобів захисту інформації.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 17
а
Вимоги до персоналу: Документ також встановлює вимоги до персоналу,
який працює з інформацією та засобами захисту, зокрема щодо навчання,
сертифікації та контролю доступу.
Процедури реагування на інциденти безпеки: НД ТЗІ містить рекомендації
щодо процедур реагування на інциденти безпеки, включаючи виявлення, аналіз та
відновлення після інциденту.
НДТЗІ 1.1-004-99—це діючий нормативний документ, що регулює технічні
заходи захисту інформації в Україні. Даний документ був прийнятий Державною
службою спеціального зв'язку та захисту інформації України.
НД ТЗІ 1.1-004-99 містить вимоги та рекомендації щодо засобів захисту
інформації, включаючи криптографічні засоби, засоби контролю доступу, засоби
захисту мереж та систем, а також принципи організації і застосування технічних
засобів захисту інформації.
Цей документ встановлює вимоги до систем захисту інформації та
відповідальність організацій за забезпечення безпеки інформації. Він також надає
рекомендації щодо розробки політики захисту інформації, проведення аудитів
безпеки і реагування на інциденти безпеки.
НД ТЗІ 2.5-004-99 (Нормативні документи з технічного захисту інформації)
є застарілим нормативним документом, прийнятим в 1999 році в Україні. Цей
документ регулював питання технічного захисту інформації, зокрема вимоги до
систем технічного захисту інформації, заходи забезпечення конфіденційності,
цілісності та доступності інформації.[2]
Проте, з огляду на те, що інформаційні технології швидко розвиваються,
змінюються загрози кібербезпеці і виникають нові вимоги, цей нормативний
документ може бути застарілим та не відповідати сучасним вимогам технічного
захисту інформації.
НД ТЗІ 2.5-005-99 (Нормативні документи з технічного захисту інформації)
є ще одним застарілим нормативним документом, прийнятим в 1999 році в Україні.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 18
а
Цей документ регулював питання застосування криптографічних засобів та
технічних засобів захисту інформації.
Основною метою НД ТЗІ 2.5-005-99 було визначення вимог та правил щодо
застосування криптографічних засобів у системах і мережах зберігання, обробки
та передачі інформації. Документ містив вимоги до алгоритмів шифрування,
ключового управління, захисту криптографічних ключів та інших аспектів
криптографічного захисту.
Проте, з огляду на швидкий технологічний прогрес та зміну загроз
кібербезпеці, цей нормативний документ може бути застарілим та не відповідати
сучасним вимогам технічного захисту інформації.
Для забезпечення сучасного технічного захисту інформації рекомендується
використовувати більш актуальні нормативні документи та стандарти, такі як
стандарти серії ISO/IEC 27000, які визначають загальні принципи систем
управління інформаційною безпекою та надають рекомендації щодо застосування
криптографічних засобів та інших технічних засобів захисту інформації.
Важливо зазначити, що конкретні вимоги і рекомендації НД ТЗІ можуть
змінюватися з часом, оскільки це залежить від розвитку технологій та зміни загроз.
Для отримання актуальної інформації рекомендується звертатися до офіційних
джерел та органів, відповідальних за захист інформації у вашій країні.
Політика безпеки - це сукупність норм, правил і методик для подальшого
структурування діяльності інформаційної системи у сфері обробки, зберігання та
розповсюдження критично важливої інформації. При цьому під інформаційною
системою розуміється не тільки програмно-програмний комплекс, а й
обслуговуючий персонал [9].
Система забезпечення інформаційної безпеки України будується і
розвивається відповідно до Конституції України та інших актів законодавства, що
регулюють суспільні відносини в інформаційній сфері. Основу цієї системи
складають інститути, сили і засоби забезпечення інформаційної безпеки шляхом
вжиття системи адміністративно-правових, інформаційних, аналітичних,
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 19
а
організаційних, управлінських та інших заходів, спрямованих на забезпечення
сталого функціонування системи управління.[7]
1.4 Модель MITRE, та OWASP
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge)
- це відома база знань та модель, розроблена компанією MITRE Corporation, яка
описує тактики, техніки та загальні знання про кібератаки. ATT&CK став важливим
інструментом для кібербезпеки та кіберзахисту, допомагаючи організаціям
розуміти, аналізувати та виявляти загрози та кіберпогрози.
MITRE ATT&CK був розроблений з метою створення загального мовлення
та фреймворку для спільного розуміння того, як злочинці та зловмисники
використовують тактики та техніки для здійснення кібератак. Він включає
широкий спектр загроз, таких як шкідливі програми, витоки даних, фішинг,
розповсюдження рансомвару та багато іншого.
База знань MITRE ATT&CK містить матриці, які описують різні тактики та
техніки, використовувані загрозами. Кожна тактика представляє собою широкий
спосіб досягнення цілей атаки, такий як отримання доступу, поширення, збір
інформації тощо. Техніки, у свою чергу, описують конкретні методи та прийоми,
які використовуються при виконанні кожної тактики.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 20
а
Рис 1.1 «Таблиця MITRE»
ATT&CK базується на обширних дослідженнях реальних кібератак та загроз,
а також на внутрішніх знаннях та експертизі MITRE. Вона постійно оновлюється,
щоб відображати нові загрози та виявлені техніки. ATT&CK також включає
посилання на різні джерела та ресурси, які надають більш детальну інформацію
про кожну тактику та техніку.
MITRE ATT&CK став важливим інструментом для розробки кіберзахисних
стратегій, тестування безпеки та аналізу вразливостей. Він допомагає організаціям
покращити свої практики кібербезпеки шляхом розуміння та виявлення
потенційних загроз та атак, що дозволяє ефективно планувати та реагувати на
кіберпогрози.[10]
OWASP (Open Web Application Security Project) - це некомерційна
організація, яка присвячена покращенню безпеки веб-додатків. Організація
OWASP зосереджується на виявленні та запобіганні уразливостям веб-додатків
шляхом розробки відкритих стандартів, інструментів, рекомендацій та ресурсів
для спільноти розробників, тестувальників та експертів з безпеки.
Основні цілі OWASP включають свідоме розуміння потенційних загроз
безпеці веб-додатків, підвищення усвідомленості про них серед розробників та
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 21
а
користувачів, сприяння розробці безпечних додатків та створення ресурсів для
оцінки безпеки веб-додатків.
OWASP публікує "OWASP Top 10" - перелік десяти найпоширеніших
уразливостей веб-додатків, які часто використовуються зловмисниками. Цей
перелік оновлюється регулярно, враховуючи останні тренди та загрози в царині
кібербезпеки.
Рис 1.2 «OWASP Top 10 2021»
Організація OWASP розробляє інструменти та проекти, які допомагають
виявляти та виправляти уразливості веб-додатків. До цих проектів належать,
наприклад, "OWASP ZAP" (Zed Attack Proxy) - інструмент для сканування та
тестування безпеки веб-додатків, або "OWASP Dependency Check" - інструмент для
виявлення вразливостей в залежностях програмного забезпечення.
OWASP активно співпрацює зі спільнотою та проводить конференції,
навчальні курси та тренінги для поширення знань про безпеку веб-додатків та
обміну досвідом. Організація також сприяє розробці безпечних стандартів та
методологій для веб-розробки.
Завдяки своїй активності та впливу OWASP стала визнаною організацією в
галузі безпеки веб-додатків і займає важливе місце в побудові безпечного
кіберсередовища. Її ресурси та рекомендації широко використовуютьЛсияст
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 22
а
розробниками, тестувальниками та аналітиками з усього світу для поліпшення
безпеки веб-додатків.
1.5 Модель порушника
Захист інформації у комп'ютерній системі можливий лише тоді, коли всі
потенційні та реальні загрози визначені, а також відомі методи, які
використовуються цими загрозами.
Порушник - це особа, яка навмисно або випадково намагається здійснити
заборонені дії в автоматизованій системі, використовуючи різні методи та засоби
з особистих інтересів або з метою самоствердження.
Зловмисник - це порушник, який свідомо діє з корисливими намірами.
Модель порушника визначає:
- Категорії (типи) порушників, які можуть впливати на об'єкт;
- Цілі, які можуть переслідувати порушники кожної категорії, можливий
кількісний склад, використовувані інструменти, приладдя, оснащення, зброю та
ін .;
- Типові сценарії можливих дій порушників, які описують послідовність
(алгоритм) дій груп і окремих порушників, способи їх дій на кожному етапі.
Модель порушників може мати різну ступінь деталізації.
- Змістовна модель порушників відображає систему прийнятих керівництвом
об'єкта, відомства поглядів на контингент потенційних порушників, причини і
мотивацію їх дій, переслідувані цілі і загальний характер дій в процесі підготовки
і здійснення акцій впливу.
- Сценарії впливу порушників визначають класифіковані типи здійснюваних
порушниками акцій з конкретизацією алгоритмів та етапів, а також способів дії на
кожному етапі.
- Математична модель впливу порушників являє собою формалізований опис
сценаріїв у вигляді логіко-алгоритмічної послідовності дій порушників, кількісних
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 23
а
значень, параметрически характеризують результати дій, і функціональних
(аналітичних, чисельних або алгоритмічних) залежностей, що описують
протікають процеси взаємодії порушників з елементами об'єкта та системи
охорони. Саме цей вид моделі використовується для кількісних оцінок вразливості
об'єкта та ефективності охорони.
Під порушником в загальному вигляді можна розглядати особа або групу
осіб, які в результаті навмисних або ненавмисних дій забезпечує реалізацію загроз
інформаційній безпеці.
З точки зору наявності права постійного або разового доступу в
контрольовану зону порушники можуть поділятися на два типи:
- Порушники, які не мають права доступу в контрольовану зону території
(приміщення) - зовнішні порушники;
- Порушники, які мають право доступу в контрольовану зону території
(приміщення) - внутрішні порушники.
Порушники класифікуються за рівнем можливостей, що надаються їм
штатними засобами АС і СВТ, підрозділяються на чотири рівні.
Перший рівень визначає найнижчий рівень можливостей ведення діалогу в
АС - запуск завдань (програм) з фіксованого набору, що реалізують заздалегідь
передбачені функції по обробці інформації.
другий рівень визначається можливістю створення і запуску власних
програм з новими функціями з обробки інформації.
третій рівень визначається можливістю управління функціонуванням АС,
тобто впливом на базове програмне забезпечення системи і на склад і конфігурацію
її устаткування.
четвертий рівень визначається всім обсягом можливостей осіб, які
здійснюють проектування, реалізацію і ремонт технічних засобів АС, аж до
включення до складу власних технічних засобів з новими функціями з обробки
інформації.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 24
а
При цьому в своєму рівні порушник є фахівцем вищої кваліфікації, знає все
про АС і, зокрема, про систему і засобах її захисту.
Так само, модель порушника можна змалювати таку картину: 1) Розробник;
2) Обслуговуючий персонал (системний адміністратор, співробітники
забезпечення ІБ); 3) Користувачі; 4) Сторонні особи. [8]
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 25
а
РОЗДІЛ 2
МЕТОДИ ТА ЗАСОБИ ЗАХИСТУ ІНФОРМАЦІЙНОЇ
ІНФРАСТРУКТУРИ ВІД НЕГАТИВНИХ КІБЕРНЕТИЧНИХ ВПЛИВІВ
2.1 Роль та функції мережевого екрана в забезпеченні безпеки мережі
Поняття та види міжмережевих екранів
Завдяки розвитку сучасних технологій, мережний обмін даними стає все
більш актуальним для як приватних осіб, так і організацій. Це приводить до
необхідності розробки ефективних систем для захисту конфіденційної інформації.
В таких випадках одним з рішень є використання міжмережевого екрана.
Призначення та особливості міжмережевих екранів порівняно з іншими
мережевими пристроями
Одним з основних завдань мережевих екранів є захист від несанкціонованого
доступу з боку сторонніх осіб. Вони забезпечують захист окремих сегментів або
хостів у мережі. Найчастіше проникнення третіх осіб пов'язане з уразливостями
двох компонентів:
Програмне забезпечення, встановлене на персональних комп'ютерах.
Мережеві протоколи, які можна використовувати для визначення
відправника.
Під час роботи міжмережевого екрана він порівнює характеристики трафіку,
що протікає через пристрій. Для досягнення найбільшого ефекту
використовуються шаблони відомого шкідливого коду. Якщо виявляються
аномалії, з'являється повідомлення "Заблокований вхідний трафік, перевірте
налаштування мережевого екрану".
Міжмережевий екран, по суті, є програмним або програмно-апаратним типом
системи, що відповідає за контроль інформаційних потоків. Проте, існує попит
також і на апаратний варіант цього пристрою.
Але існують певні функції, які спочатку були доступні лише при
використанні традиційних маршрутизаторів, які також забезпечують
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 26
а
функціональні можливості мережевого екрана. Ці маршрутизатори є більш
економічно вигідними, тому вони підходять для невеликих компаній і філій, а не
для великих організацій. Налаштування мережевого екрану легко змінюються
залежно від вимог власників обладнання.
Фільтрація трафіку
Ruleset, який використовується для фільтрації трафіку через міжмережевий
екран, представляє собою заданий набір правил. Ця технологія може бути описана
як послідовність фільтрів, які аналізують і обробляють трафік. Ці фільтри
використовують конфігураційні параметри, які встановлюються користувачем. Без
використання цього правилника, блокування трафіку не відбувається належним
чином.
Існують два основних принципи обробки великої частини трафіку, і
встановлення використовуваного принципу може бути досить простим завдяки
наступній інформації.
Перший принцип дозволяє пропускати будь-які пакети даних, за
винятком тих, на які спочатку накладається заборона. Якщо пакети не відповідають
жодному з обмежень під час першого проходження, вони продовжують свій шлях.
Наприклад, вхідний трафік на Hamachi може бути заблокований з різних причин.
Другий принцип полягає у тому, що дозволяється все, що не попадає
під заборону.
Міжмережевий екран має дві основні функції:
Заборона (Deny) — ця функція дозволяє блокувати передачу даних.
Дозвіл (Allow) — ця функція дозволяє передавати пакети далі. Для
надання дозволу можна використовувати різні критерії.
Класифікація міжмережевих екранів заснована на підтримці мережевої
моделі OSI і включає наступні типи:
1. Інспектори стану: цей тип міжмережевих екранів аналізує стан
з'єднання і перевіряє, чи відповідають передані дані певним правилам. Вони
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 27
а
спираються на інформацію про стан пакетів для прийняття рішення щодо дозволу
або блокування трафіку.
2. Посередники прикладного рівня: ці міжмережеві екрани працюють на
рівні застосунків і аналізують дані, що передаються на основі специфічних
протоколів. Вони можуть контролювати доступ до конкретних сервісів або
додатків.
3. Шлюзи сеансового рівня: ці міжмережеві екрани працюють на рівні
сеансу і забезпечують безпечну комунікацію між різними системами. Вони можуть
контролювати і аутентифікувати сеанси зв'язку та забезпечувати шифрування
даних.
4. Пакетні фільтри: ці міжмережеві екрани базуються на правилах
фільтрації, які визначають, які пакети даних мають бути дозволені або заборонені
на основі певних атрибутів, таких як IP-адреси або порти.
5. Керовані комутатори, які можна відключити в будь-який момент: цей
тип міжмережевих екранів забезпечує можливість вимкнути або включити
функціональність екрану за потреби, що дає змогу швидко реагувати на зміни в
мережі або забезпечувати тимчасову зупинку фільтрації.
Одним з ключових критеріїв класифікації міжмережевих екранів є їх
підтримка мережевої моделі OSI. Залежно від потреб і характеристик мережі,
можуть бути використані різні типи міжмережевих екранів.
Фільтри пакетів, що використовуються на рівні мережі, забезпечують
контроль трафіку, використовуючи дані з заголовків пакетів. Вони добре
обробляють заголовки вищих рівнів, і є першим типом комплексів міжмережевих
екранів. Цей підхід залишається популярним і поширеним.
При обробці вхідного трафіку аналізуються різні типи даних, зокрема
мережеві та транспортні протоколи, порти відправника та одержувача, тип
протоколу та IP-адреси відправника та одержувача. Пакетні фільтри часто
включаються в операційні системи або використовуються як компоненти
персональних мережевих екранів та прикордонних маршрутизаторів.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 28
а
Однією з головних переваг пакетних фільтрів є їх висока швидкодія при
аналізі пакетів. Вони ефективно виконують свої функції на кордонах з мережами,
яким не можна повністю довіряти. Однак високорівневі протоколи часто
ускладнюють безпековий аналіз. Хоча їх можна включити в програмне
забезпечення, це може вимагати багато часу.
Основні типи мережевих екранів включають:
1. Фізичні мережеві екрани: Це апаратне обладнання, що
встановлюється між зовнішньою мережею і внутрішньою мережею організації.
Вони можуть бути спеціалізованими пристроями або вбудованими в
маршрутизатори або комутатори.
2. Віртуальні мережеві екрани: Це програмні рішення, які запускаються
на віртуальних серверах або в хмарному середовищі. Вони надають ті ж функції
захисту, але без необхідності використання фізичного обладнання.
Параметри мережевих екранів можуть включати наступні характеристики:
Фільтрація трафіку: Мережеві екрани можуть використовувати
правила для фільтрації трафіку на основі IP-адрес, портів, протоколів та інших
критеріїв. Це дозволяє дозволяти або блокувати певний вид трафіку.
Станова інспекція (stateful inspection): Це функція, що дозволяє
відстежувати стан пакетів і контролювати підключення. Мережеві екрани здатні
визнавати легітимний трафік на основі існуючих підключень, забезпечуючи більш
високий рівень безпеки.
VPN-підтримка: Деякі мережеві екрани можуть підтримувати
створення захищених віртуальних приватних мереж (VPN), що дозволяє
шифрувати і захищати з'єднання між віддаленими мережами або користувачами.
IDS/IPS-інтеграція: Мережеві екрани можуть мати інтегровані системи
виявлення вторгнень (IDS) або системи запобігання вторгненням (IPS), що
дозволяють виявляти та запобігати зловмисним діям у реальному часі.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 29
а
Менеджмент і моніторинг: Мережеві екрани можуть мати інтерфейси
управління та моніторингу, що дозволяють налаштовувати правила, контролювати
трафік та аналізувати журнали подій для виявлення аномалій.
Доступ до налаштувань журналу
Виберіть Брандмауер Windows у режимі підвищеної безпеки (локальний
комп'ютер)
Відкривається вікно з трьома вкладками, а саме: "Профіль домену",
"Приватний профіль" і "Загальний профіль". Зауважується, що вміст цих вкладок
однаковий, але стосується трьох різних профілів, що вказані в заголовку вкладки.
На кожній вкладці профілю є кнопка налаштування журналу. Кожен журнал
відповідатиме окремому профілю.[1]
Активація журналу подій
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 30
а
Якщо ви хочете запустити реєстрацію подій, в обох випадаючих меню
Записувати пропущені пакети та Записувати успішні підключення встановіть
значення Так і натисніть кнопку ОК
Для вимкнення функції логування встановіть значення Ні (за замовчуванням)
в обох меню, що випадають.
Постійна робота функції може призвести до проблем продуктивності, тому
активуйте її тільки коли дійсно потрібно виконати моніторинг підключень
Вивчення журналів
Тепер комп'ютер фіксуватиме мережеву активність, контрольовану
фаєрволом.
Для перегляду логів потрібно:
• Перейти до вікна Додаткові параметри.
• Вибрати опцію Спостереження у лівому списку.
• У розділі Параметри ведення журналу натиснути Ім'я файлу.
Після цього відкриється журнал активності мережі. Вміст журналу може
заплутати недосвідченого користувача. Розглянемо основний зміст записів
журналу.
ALLOW Фаєрвол дозволив підключення
DROP Підключення було заблоковано фаєрволом
2.2 Системи виявлення вторгнень та систем запобігання вторгнень
IDS (система виявлення атак, вторгнень) - це програмний або апаратний
інструмент, створений для виявлення несанкціонованого доступу до комп'ютерних
систем або мереж і несанкціонованого керування ними, зокрема через Інтернет. Всі
дані про шкідливе програмне забезпечення або порушення нормального
функціонування систем централізовано збираються SIEM-системою (система
керування інформацією та подіями безпеки). SIEM-система обробляє отримані дані
з різних джерел і використовує фільтри тривог для відрізнення несанкціонованої
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 31
а
активності від помилкових спрацьовувань тривог. Інформація повідомляється
адміністратору або центру безпеки.
Деякі системи виявлення вторгнень (IDS) можуть виявляти початок атак
на мережу, а деякі навіть здатні розпізнавати раніше невідомі атаки. Ці системи
називаються системами запобігання вторгненням (IPS). IPS не лише надсилають
повідомлення, але також приймають заходи для блокування атак, наприклад,
розривають з'єднання або виконують скрипти, задані адміністратором. У практиці
часто програмно-апаратні рішення комбінують функціональність обох типів
систем і називаються IDPS (система виявлення та запобігання вторгнень).
Існує кілька типів IDS, розмір яких може варіюватися від окремих
комп'ютерів до великих мереж. Найпоширенішими класифікаціями є мережеві
системи виявлення вторгнень (NIDS) та системи виявлення вторгнень, що
базуються на аналізі хостів (HIDS). Наприклад, HIDS може відстежувати важливі
файли операційної системи, тоді як NIDS аналізує вхідний мережевий трафік. IDS
також можна класифікувати в залежності від методів виявлення загроз.
Найпоширенішими є сигнатурні методи (розпізнавання шкідливих шаблонів, таких
як шкідливе програмне забезпечення) та методи виявлення аномалій (виявлення
відхилень від "нормального" трафіку, часто за допомогою машинного навчання).
IPS (система запобігання вторгнень) - це програмна або апаратна система
забезпечення мережевої та комп'ютерної безпеки, яка виявляє вторгнення або
порушення безпеки і автоматично захищає від них. Системи IPS можна розглядати
як розширення систем виявлення вторгнень (IDS), оскільки їх основне завдання
полягає в виявленні атак. Однак вони відрізняються тим, що IPS має відстежувати
активність в реальному часі і швидко вживати заходи для запобігання атак.
Головна різниця між ними полягає в тому, що IDS є системою, що
моніторить, тоді як IPS є системою, що управляє.
IDS не змінює мережеві пакети ніяким чином, тоді як IPS перешкоджає
доставці пакету на основі його вмісту, подібно до того, як брандмауер блокує
трафік за IP-адресою.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 32
а
Рисунок 2.1 – Розташування IDS та IPS
IDS IPS
Інструменти IDS були розроблені з Відповіді IPS базуються на
метою виявлення зловмисної передвстановлених критеріях для
активності, реєстрації та передачі різних типів атак, шляхом блокування
сповіщень. Вони не мають можливості трафіку та видалення шкідливих
запобігти атакам. Всі попередження, процесів. Інструменти IPS частіше
що надходять, потребують дії людини викликають помилкові
або додаткової системи безпеки. спрацьовування, оскільки вони мають
менші можливості виявлення
порівняно з IDS.
Класифікація IDS
Існують кілька загальних методів, які застосовуються в сучасних системах
виявлення атак, відомих як IDS (система виявлення вторгнень). Ці методи не
виключають один одного і можуть застосовуватись окремо або у поєднанні в
багатьох системах.
Для класифікації IDS використовуються різні підходи та комбінації
методів такі як:
1. За способом реагування;
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 33
а
2. Способу виявлення атаки;
3. Способу збору інформації про атаку.
За способом реагування є пасивні та активні IDS. Пасивні IDS фіксують
факт атаки, записують дані у файл журналу також видають попередження. Активні
IDS намагаються протидіяти атаці, (наприклад шляхом реконфігурації або генерує
списки доступу маршрутизатора).
За способом виявлення атаки системи IDS поділяються на такі дві
категорії:
1. Виявлення аномальної поведінки (Anomaly-based);
2. Виявлення зловживань (Signature-based).
Технологія виявлення аномальної поведінки ґрунтується на такому
принципі: коли користувач відхиляється від нормальних параметрів поведінки, це
може свідчити про атаку або ворожі дії. Аномальна поведінка може мати різні
прояви, наприклад, велику кількість з'єднань протягом короткого проміжку часу
або значне навантаження центрального процесора.
Якщо ми можемо однозначно визначити типовий профіль нормальної
поведінки користувача, будь-яке відхилення від цього профілю може бути
розпізнано як аномальна поведінка. Проте не кожне виявлення аномалії є
автоматичною атакою. Наприклад, система виявлення атак може визначити атаку
"відмова в обслуговуванні" ("denial of service"), коли адміністратор мережі
одночасно надсилає велику кількість запитів.
При використанні системи такою технологією можливі два варіанти:
1. Виявлення аномальної поведінки, яка не являється атакою, та
розподілення її до класу атак;
2. Більш небезпечним є випадок, коли атака не виявляється як аномальна
поведінка, ніж помилкове визначення аномалії як атаки.
Виявлення зловживань відбувається шляхом опису атаки у вигляді сигнатури
та пошуку цієї сигнатури в контрольованому просторі, такому як мережевий трафік
або журнал реєстрації. Сигнатура атаки може бути представлена у вигляді шаблону
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 34
а
дій або рядка символів, які вказують на аномальну активність. Ці сигнатури
зберігаються у базі даних, схожій на ту, що використовується в антивірусних
системах. Технологія виявлення атак схожа на технологію виявлення вірусів,
оскільки система може розпізнати всі відомі атаки. Проте такі системи не можуть
виявляти нові, невідомі типи атак.
Найбільш популярна класифікація за способом збору інформації про
атаку:
1. Виявлення атак лише на рівні мережі (network-based);
2. Виявлення атак лише на рівні хоста (host-based);
3. Виявлення атак на рівні програми (application-based).
Система network-based функціонує як снифер, спостерігаючи за трафіком
у мережі та виявляючи дії зловмисників. Ці системи аналізують мережевий трафік
за допомогою сигнатур атак та методів аналізу. Метод "аналізу на льоту"
передбачає моніторинг мережевого трафіку в реальному часі або наближеному до
реального, а також використання відповідних алгоритмів виявлення.[19]
Системи host-based призначені для контролю, виявлення та реагування на
дії зловмисників на конкретному хості. Розташовуючись безпосередньо на
захищеному хості, вони проводять перевірку та виявляють дії, спрямовані проти
нього. Ці системи аналізують журнали реєстрації операційної системи або
програми..
Система application-based працює шляхом виявлення проблем, що
виникають у конкретному додатку.
Кожен з цих видів систем виявлення атак (мережевий рівень, рівень хоста та
рівень додатка) має свої переваги та недоліки. Гібридні IDS, які комбінують різні
типи систем, зазвичай поєднують можливості кількох категорій.
Тепер про те, як діляться різні IDS за рівнем виявлення атак та варіацією
принципів їх діяльності.
1.Network Intrusion Detection Systems - NIDS. Механізм роботи частково
запозичений у сніффера, частково антивірусної системи. Чи чув про так званий
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 35
а
евристичний аналіз антивірусу? У Касперському це є. Це коли антивірус працює з
шаблонами характерних дій вірусу. Відмінність IDS у цьому, що у ній немає
пошуку небезпечного коду, а йде аналіз трафіку щодо знаходження підозрілих
властивостей, які стосуються якогось способу злому. Ще NIDS може вчасно вжити
необхідних дій у разі, коли на систему ще тільки готується напад. Як відомо,
перший етап атаки на локальну мережу – збір даних – так звана інвентаризація
мережі. Якщо для цього хакер просто примітивно сканує порти, NIDS виявить це і
вчасно буде реагувати. Це класичний IDS.
2.Graph-Based Intrusion Detection System - GrIDS. Просто кажучи, GrIDS -
просто вдосконалена NIDS. Як я вже казав, одне із завдань будь-якого IDS -
припинити збір даних про локальну мережу. Звичайно, проводити інвентаризацію
способами, які може зафіксувати стандартна NIDS ніхто нормальний не буде. Який
сенс світитись, навіть не розпочавши атаку? Тому розробили інший спосіб -
розподілений збір інформації. Для цього треба, щоб у атакуючого було кілька
комп'ютерів. Це дозволяє уникнути фіксації факту збору інформації нормальної
NIDS - вона відчуває подібності трафіку з шаблонами, які характеризують тактику
інвентаризації чи вторгнення. Але на GrIDS такий спосіб не розповсюджується. У
GrIDS інший принцип функціонування: є багато сніферів і кожен встановлюється
певний сегмент мережі. Передана ними інформація збирається в одне ціле,
відбувається аналіз отриманих даних, і вони подаються у вигляді схеми
інформаційних потоків - так званого графа. Звідси і назва – Graph-Based Intrusion
Detection System. Такий принцип дії дозволяє розпізнавати складні хакерські
тактики. До речі, за допомогою таких систем виявляються мережеві хробаки. Але
все-таки навіть така наворочена система як GrIDS – далеко не вихід.
3.Operational Intrusion Detection Systems - OIDS. Ці системи розроблені на
той випадок, якщо хакеру таки вдалося проникнути всередину мережі від імені
якогось легального користувача (під чужим логіном) або атака на мережу йде з неї
самої.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 36
а
Треба трохи відволіктися і повідомити статистичні дані - 18% зломів
припадають на долю зовнішніх зломів, і 82% - на внутрішні. Все стає зрозуміло ...
Принцип впливу OIDS: система зіставляє лінію поведінки користувача,
зареєстрованого під певним логіном (вона складається з тих процесів, які робить
користувач з початку реєстрації) з тими процесами, які виробляються від імені
користувача в даний момент часу. І якщо система виявляє якісь разючі відмінності
у поведінці, вона піднімає паніку. Просто кажучи, OIDS оцінюють типовість
операцій кожного користувача (на відміну від NIDS, які оцінюю типовість трафіку)
4. IDS Host Based– додатковий захід захисту – це вже зовсім круто. Такі
системи застосовуються для захисту особливо важливих або найуразливіших
ділянок LAN. Працюють вони так: той самий модуль аналізу (аналізатор), який
включає будь-яка IDS, встановлюється прямо на ті речі, які збираються захищати.
Потім Host Based IDS аналізує трафік на наявність типових сигнатур (сигнатури це
те, що вище я називав підозрілими властивостями, що належать до одного зі
способів злому). Або по-іншому – IDS перевіряє контрольну суму файлів на об'єкті
і через деякий час порівнює її з пізнішою сумою. Так виявляється факт
несанкціонованої зміни файлів
5.Найскладніші – External Routing Intrusion Detection System - ERIDS
Вони створені для протистояння найвитонченішим і нетривіальнішим спробам
злому та інвентаризації. Наприклад, якщо хакер атакує маршрутизатор і змінює
його опції так, що він спрямовує трафік через сегменти мережі, які не
контролюються IDS.
Архітектура IDS
У системах виявлення вторгнень розрізняються локальна та глобальна
архітектура для досягнення ефективності. Локальна архітектура охоплює
елементарні компоненти, які можуть бути використані для обслуговування
корпоративних систем, в той час як глобальна архітектура охоплює
широкомасштабні компоненти та інфраструктуру, які працюють на рівні більших
мереж або глобальних систем.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 37
а
1) Основні складові локальної архітектури включають першинний збір
даних, який здійснюється агентами, також відомими як сенсори. Реєстраційна
інформація може бути отримана з системних або прикладних журналів (технічно
нескладно отримати її безпосередньо від ядра операційної системи), або
витягуватися з мережі за допомогою відповідних механізмів активного мережевого
обладнання, а також за допомогою перехоплення пакетів за допомогою
моніторингу мережевої карти.
«Рисунок 2.2 - Архітектура менеджера IDS»
На рівні агентів (сенсорів) може бути застосована фільтрація даних з метою
зменшення їх обсягу. Це вимагає, щоб агенти були деяким чином
інтелектуальними, але збільшує ефективність інших компонентів системи.
Агенти (сенсори) передають інформацію до центру розподілу, який
приводить її до єдиного формату, можливо, здійснює подальшу фільтрацію,
зберігає її у базі даних та направляє для подальшого аналізу статистичним Лтиаст
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 38
а
експертним компонентам. Один центр розподілу може обслуговувати кілька
детекторів.[15]
2) Глобальна архітектура відноситься до організації взаємозв'язків між
локальними системами виявлення вторгнень на рівні однорангових та
багаторівневих структур.
«Рисунок 2.3 - Глобальна архітектура систем виявлення вторгнень»
На певному рівні ієрархії знаходяться компоненти, які аналізують підозрілу
активність з різних перспектив. Наприклад, на рівні хосту можуть бути
розташовані підсистеми для аналізу поведінки користувачів та додатків. Їх можна
доповнити підсистемою для аналізу мережевої активності. Коли один компонент
виявляє щось підозріле, часто буває корисно повідомити сусідні компоненти, щоб
вжити необхідних заходів або збільшити увагу до певних аспектів системної
поведінки.
Ось кілька назв популярних IDS і їх основні параметри:
1. Snort: Snort є відкритою системою виявлення вторгнень, яка базується
на правилах. Вона використовує регулярні вирази для виявлення відповідних
шаблонів атак у мережевому трафіку. Snort підтримує режими розпізнавання
пакетів і потоків, а також може працювати в режимі NIDS (Network-based IDS) або
HIDS (Host-based IDS).
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 39
а
2. Suricata: Suricata також є відкритою системою виявлення вторгнень і є
розширеною альтернативою до Snort. Вона пропонує широкий набір функцій,
включаючи розпізнавання пакетів, потоків та додаткові можливості обробки
мережевого трафіку. Suricata також може працювати як NIDS або HIDS.
3. Bro/Zeek: Bro (зараз відома як Zeek) є системою мережевого
моніторингу, яка також включає можливості виявлення вторгнень. Вона аналізує
мережевий трафік, будуючи подробний протокольний аналіз та розпізнаючи
зловмисні активності. Bro/Zeek може розпізнавати вторгнення, зламані з'єднання,
сканування мережі та інші аномалії.
4. Snort-based IDS: Крім самої системи Snort, існують інші IDS, які
базуються на Snort, але мають розширені функціональні можливості та покращену
ефективність. Наприклад, Cisco Firepower IPS використовує Snort-подібний
движок, але додатково має розширені можливості для аналізу трафіку та захисту
мережі.
Параметри IDS можуть включати:
Методи виявлення: IDS можуть використовувати різні методи, такі як
сигнатури (за шаблонами), аномалії, евристики або комбінацію цих методів.
Журналування: IDS можуть збирати і реєструвати подробиці про
виявлені події, включаючи інформацію про атаки та потенційні загрози.
Інтеграція з іншими системами: IDS можуть бути інтегровані з іншими
системами безпеки, такими як мережеві екрани, системи логування, системи
управління подіями та інші.
Правила та оновлення: IDS використовують набори правил, які
визначають атаки та вразливості. Важливо, щоб IDS оновлювався з новими
правилами та сигнатурами, щоб виявляти найновіші загрози.
Важливо пам'ятати, що конкретні параметри можуть відрізнятися в
залежності від виробника та моделі IDS.[11]
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 40
а
2.3 Огляд методів виявлення аномалій/вторгнень
Визначення аномального вторгнення
Аномалія може бути описана як відхилення, незвичайність або виключення
- це шаблон даних, який проявляє ненормальну поведінку. Технологія виявлення
аномалій призначена для виявлення шаблонів, які відхиляються від типових, інші
ж вважаються вторгненням. Виявлення аномалій можна класифікувати на статичні
та динамічні детектори.
Детектор статичних аномалій розглядається як складова контрольованої
системи, що залишається постійною. Статична складова складається з двох
елементів - системного коду та системних даних. Статичні частини системи можна
представити у вигляді двійкового біту. Якщо відбувається будь-яке відхилення від
початкової форми, то це вказує на помилку або зміни в системі, викликані
зовнішнім втручанням.
У динамічному детекторі враховується аналіз поведінки системи.
Поведінка системи визначається як послідовність різних подій. Наприклад, IDS
використовує аудит-записи, що генеруються операційною системою, для
визначення цікавих подій. У цьому випадку поведінка може бути спостережена
лише тоді, коли аудит-записи створюються ОС і події відбуваються в строгій
послідовності. Якщо невизначена поведінка розглядається як аномальна, це може
спричинити помилкові тривоги для системних адміністраторів.
Методи, що використовуються для виявлення аномалій:
Кількість подій і лічильник подій вдосконалено та впроваджено у виявленні
аномалій.
Статистичні моделі
Існують два типи статистичних моделей, які показують результат у вигляді
статистичних величин:
a) Операційна модель (ОМ) з використанням порогової метрики: дії, що
відбуваються протягом певного періоду, спричиняють спрацювання тривоги. Це
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 41
а
можна уявити як блокування у Windows 2000, де після n невдалих спроб входу в
систему спрацьовує будильник. В даному випадку, нижня межа становить 0, а
верхня межа - n.
b) Модель Маркова, також відома як маркерна модель: у цій моделі система
перевіряється з фіксованим інтервалом часу. Поведінка вважається аномалією,
якщо ймовірність стану є низькою.
Моделі пізнання
а) (FSM) або скінченний автомат - це модель поведінки, яка описується за
допомогою станів, переходів та дій. Кожен стан зберігає інформацію про
попередній стан. Дія визначає активності, які мають бути виконані в певний
момент, і може бути вхідною дією, вихідною дією або дією переходу.
б) Сценарії опису: мови сценаріїв використовуються для опису атак на
комп'ютери та мережі. Усі мови сценаріїв можуть аналізувати послідовності
конкретних подій.
Когнітивні методи виявлення загроз.
Методи виявлення, які базуються на пізнанні (також відомі як системи, що
базуються на знаннях або на практиці), оперують даними аудиту. Вони
використовують набір заздалегідь визначених правил для класів та атрибутів, які
формуються з навчального набору даних.
а) Підсилене дерево рішень (BT) або підсилене дерево: цей метод
використовує алгоритм ADA Boost (адаптивне підсилення), щоб створити кілька
класифікаторів дерев рішень, які навчаються на різних підвибірках даних. Цей
підхід застосовується в системах виявлення вторгнень (IDS).[3]
b) Підтримка векторної машини (SVM): SVM - це класифікатори, призначені
для двійкової класифікації. Застосування SVM на основі дерев рішень є технікою,
яка комбінує обидва методи для ефективного вирішення задач. Використовуючи
цей підхід, можна скоротити час навчання та тестування.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 42
а
2.4 Рекомендації щодо оцінки системи виявлення вторгнень
Потрібно зазначити, що деякі люди вважають системи моніторингу мережі
та виявлення вторгнень (IDS) застарілими. Однак IDS є надзвичайно важливим
елементом ефективної оборони, і сучасні підходи до їх технологій можуть мати ще
більшу цінність. У виборі IDS слід враховувати декілька ключових факторів:
Одне з важливих міркувань щодо вибору IDS полягає у вирішенні питання
між автономними IDS та вбудованими системами.
1. Автономний IDS - це незалежна система, спеціально розроблена для
виявлення вторгнень у мережі. Вона може функціонувати окремо від інших
компонентів мережі та забезпечувати високу надійність та продуктивність.
Автономний IDS зазвичай базується на спеціалізованих апаратних пристроях або
віртуальних машинах, що надають високу ефективність обробки трафіку та аналізу
даних. Він здатний виявляти нові загрози та незвичайну активність у мережі.
З іншого боку, вбудована система IDS - це IDS-функціонал, який вбудований
безпосередньо в брандмауер або маршрутизатор. Це може бути зручно для
організацій з обмеженими ресурсами або невеликими мережами, оскільки не
потребує додаткових пристроїв або програмного забезпечення. Вбудовані системи
IDS можуть надавати базовий рівень захисту від відомих загроз та атак, але їх
можливості обмежені, і вони не завжди здатні виявляти нові та складні загрози.
Переваги автономного IDS:
Незалежність: Автономний IDS може працювати незалежно від інших
компонентів мережі, забезпечуючи більшу надійність та безпеку.
Продуктивність: Спеціалізовані апаратні пристрої або віртуальні
машини автономного IDS забезпечують високу швидкість обробки трафіку та
аналізу даних.
Гнучкість: Автономний IDS може бути налаштований та розширений
залежно від потреб організації та змінюваних загроз.
Переваги вбудованих систем IDS:
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 43
а
Простота впровадження: Вбудовані системи IDS не потребують
додаткових пристроїв або програмного забезпечення, тому їх легше впровадити та
налаштувати.
Економічність: Вбудовані системи IDS можуть бути доступнішими з
точки зору вартості, оскільки не потребують окремих пристроїв.
Вибір між автономним IDS та вбудованими системами залежить від потреб
організації, розміру та складності мережі, наявних ресурсів та бюджету. Для
більших мереж з високим рівнем загроз рекомендується розглянути використання
автономного IDS, оскільки він забезпечує більшу незалежність та продуктивність.
В той же час, вбудовані системи IDS можуть бути прийнятним варіантом для
менших мереж з обмеженими ресурсами.
Одним з міркувань щодо вибору IDS є розгляд варіантів відкритого коду та
пропрієтарного (закритого) програмного забезпечення.
Відкритий код (open-source) IDS відноситься до програмного забезпечення,
чий вихідний код доступний для всіх користувачів. Це означає, що будь-хто може
переглянути, модифікувати та розповсюджувати код. Відкритий код зазвичай
розробляється спільнотою розробників і користувачів, що сприяє швидкому
виявленню та виправленню помилок, а також широкій підтримці та розвитку
функціоналу.
Пропрієтарне (закрите) IDS, натомість, використовує програмне
забезпечення з обмеженим доступом до його вихідного коду. Це означає, що тільки
розробник має повний контроль над кодом, і він відповідає за розповсюдження та
підтримку продукту. Користувачі пропрієтарного IDS можуть отримати певну
підтримку від розробника, але не можуть самостійно змінювати або адаптувати
програмне забезпечення.
Переваги відкритого коду IDS:
Незалежність від постачальника: Користувачі мають повний контроль
над програмним забезпеченням, можуть адаптувати його до своїх потреб та
перевірити наявність потенційних вразливостей.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 44
а
Аудит та безпека: Відкритий код дозволяє багатьом розробникам
перевірити програмне забезпечення на помилки, вразливості та виявити їх швидше.
Розширення та співпраця: Спільнота розробників може вносити внески
у вдосконалення функціоналу та можливостей IDS.
Переваги пропрієтарного IDS:
Підтримка та гарантії: Розробник пропрієтарного IDS зазвичай надає
підтримку користувачам і може гарантувати якість та безпеку свого продукту.
Простота використання: Пропрієтарне IDS може бути спрощене та
оптимізоване для певних сценаріїв використання, що полегшує впровадження та
налаштування.
Вибір між відкритим кодом та пропрієтарним IDS залежить від потреб
організації, її внутрішньої експертизи, бюджету та вимог щодо контролю над
програмним забезпеченням. Відкритий код може бути корисним для організацій,
які вимагають більшого контролю, аудиту та можливостей розширення.
Пропрієтарне IDS може бути привабливим для організацій, які шукають підтримку
та гарантії від розробника продукту.
При виборі IDS важливо враховувати його масштабованість та
продуктивність. Ось деякі міркування на цей рахунок:
Масштабованість: IDS повинен бути здатним масштабуватися залежно
від розміру та складності мережі. Це означає, що IDS повинен бути здатним
обробляти великий обсяг трафіку та працювати ефективно, незалежно від кількості
вузлів і з'єднань у мережі.
Швидкодія: IDS повинен мати високу продуктивність і здатність
обробляти трафік в реальному часі. Швидкодія IDS визначається його здатністю
аналізувати та розпізнавати загрози швидко і без помітних затримок.
Розподілена архітектура: Для масштабованості та продуктивності IDS
може використовувати розподілену архітектуру. Це означає, що аналіз трафіку та
виявлення загроз можуть проводитися паралельно на різних вузлах мережі, що
дозволяє розподілити навантаження та підвищити продуктивність.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 45
а
Ефективність ресурсів: IDS повинен ефективно використовувати
ресурси системи, такі як процесорний час, оперативна пам'ять та мережевий
пропускний здатність. Це дозволить досягти кращої продуктивності та знизити
вплив на роботу інших систем у мережі.
Масштабування згідно з потребами: IDS повинен бути гнучким і
здатним масштабуватися згідно з зростанням мережі та змінами потреб організації.
Він повинен мати можливість легко розширюватися або використовувати
додаткові ресурси, якщо це потрібно.[9]
При виборі IDS слід звернути увагу на технічні характеристики, рекомендації
виробника та здійснити оцінку продуктивності на основі специфічних вимог вашої
мережі та обсягу трафіку, який необхідно обробляти.
Інтеграція з іншими інструментами кіберзахисту є важливим міркуванням
при виборі IDS. Ось декілька аспектів, які варто враховувати:
API та стандарти: IDS повинен мати можливість взаємодіяти з іншими
інструментами кіберзахисту за допомогою API (Application Programming Interface)
та підтримувати стандарти обміну даними, такі як STIX (Structured Threat
Information eXpression) і TAXII (Trusted Automated eXchange of Indicator
Information). Це дозволить обмінюватися інформацією про загрози та спільно
працювати з іншими системами кіберзахисту.
Інтеграція з SIEM: IDS може бути інтегрований з SIEM (Security
Information and Event Management) для централізованого збору, аналізу та кореляції
подій безпеки з різних джерел. Це дозволить отримати комплексне уявлення про
загрози та забезпечити швидку реакцію на події безпеки.
Інтеграція з системами управління загрозами: IDS може взаємодіяти з
системами управління загрозами (Threat Intelligence Platforms), що дозволить
отримувати актуальну інформацію про нові загрози та використовувати її для
поліпшення виявлення та реагування на атаки.
Синхронізація правил: IDS повинен мати можливість синхронізувати
правила виявлення з іншими інструментами кіберзахисту, такими як брандмауери,
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 46
а
системи управління вразливостями тощо. Це дозволить забезпечити єдиночасну та
узгоджену політику безпеки в мережі.
Обмін інформацією зі спеціалізованими інструментами: IDS може
взаємодіяти з іншими спеціалізованими інструментами кіберзахисту, такими як
антивіруси, системи виявлення вторгнень на хостах (HIDS), системи аналізу
журналів тощо. Це дозволить отримати більш повну картину стану безпеки та
здійснювати спільні дії для запобігання та виявлення загроз.
Важливо враховувати, що інтеграція з іншими інструментами кіберзахисту
може забезпечити більш комплексну та ефективну оборону від загроз. Розгляньте
можливості інтеграції IDS з іншими інструментами, які використовуються в вашій
організації, та оберіть IDS, який найкраще підходить для вашої інфраструктури та
потреб.
2.5 Опис, порівняння між собою Snort та Suricata.
Snort — вільна мережева система запобігання вторгненням (IPS) та
виявлення вторгнень (IDS) з відкритим вихідним кодом, здатна виконувати
реєстрацію пакетів та в реальному часі здійснювати аналіз трафіку в IP-мережах.
Створена Мартіном Решем (англ. Martin Roesch), надалі розвивалася та
підтримувалася заснованою ним компанією Sourcefire (поглинута Cisco у 2013
році).
Виконує протоколювання, аналіз, пошук за вмістом, а також широко
використовується для активного блокування або пасивного виявлення цілого ряду
нападів та зондувань, таких як спроби атак на переповнення буфера, приховане
сканування портів, атаки на веб-додатки, SMB-зондування та спроби визначення
операційної системи. Програмне забезпечення в основному використовується для
запобігання проникненню, блокування атак, якщо вони мають місце.
Може працювати спільно з іншим програмним забезпеченням, наприклад,
SnortSnarf, sguil, OSSIM і BASE (що забезпечує візуальне подання даних
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 47
а
вторгнення). З доповненнями від Bleeding Edge Threats підтримує антивірусне
сканування потоків пакетів ClamAV та аналіз мережевих аномалій SPADE на
мережевому та транспортному рівнях мережі, можливо, з урахуванням історії змін.
Suricata - Система запобігання вторгненням (англ. Intrusion Prevention
System) — програмна або апаратна система мережевої та комп'ютерної безпеки,
що виявляє вторгнення або порушення безпеки та автоматично захищає від них.
Системи IPS можна як розширення Систем виявлення вторгнень (IDS),
оскільки завдання відстеження атак залишається однаковою. Однак, вони
відрізняються в тому, що IPS повинна відстежувати активність у реальному часі та
швидко реалізовувати дії щодо запобігання атакам. Можливі заходи – блокування
потоків трафіку в мережі, скидання з'єднань, видача сигналів оператору. Також IPS
можуть виконувати дефрагментацію пакетів, переупорядкування пакетів TCP для
захисту від пакетів із зміненими SEQ та ACK номерами.
Suricata - Open source IPS/IDS система. Заснована розробниками, які
працювали над IPS версією Snort. Основна відмінність Suricata від Snort -
можливість використання GPU в режимі IDS, більш просунута система IPS,
багатозадачність, як наслідок, висока продуктивність, що дозволяє обробляти
трафік до 10Gbit на звичайному устаткуванні, і багато іншого, у тому числі повна
підтримка формату правил Snort.
У Suricata використовуються два режими IPS: NFQ та AF_PACKET
NFQ IPS режим працює наступним чином:
1) Пакет потрапляє до iptables
2) Правило iptables направляє його у чергу NFQUEUE, наприклад iptables
-I INPUT -p tcp -j NFQUEUE
3) З черги NFQUEUE пакети можуть оброблятися лише на рівні користувача,
що робить Suricata
4) Suricata проганяє пакети за налаштованими правилами (rules) і в
залежності від них може винести один з трьох вердиктів:NF_ACCEPT, NF_DROP
і найцікавіше NF_REPEAT.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 48
а
5) Пакети, що потрапляють у NF_REPEAT, можуть бути промарковані в
системі, і спрямовані назад на початок поточної таблиці iptables, що дає величезний
потенціал для впливу на подальшу долю пакетів за допомогою правил iptables.
Порівняння між собою Snort та Suricata IDS
Snort і Suricata — дві найпопулярніші у світі системи виявлення та
запобігання вторгненням (IDS/IPS). Обидві системи використовують сигнатури,
правила та аналіз протоколів для виявлення шкідливого трафіку в мережах. У
цьому повідомленні блогу буде розказано про подібності та відмінності
програмного забезпечення Snort та Suricata.
Подібності між Snort та Suricata
Багатопотоковість дозволяє розбивати програмне забезпечення на кілька
потоків і виконувати їх на різних ядрах ЦП паралельно. Декілька потоків
зменшують швидкість, з якою додаткові правила уповільнюють час обробки. Це
корисно не тільки для захисту від атак з перевантаженням, але й забезпечує
додатковий загальний захист, оскільки вимоги до обробки систем виявлення
вторгнень останніми роками зросли разом із мережним трафіком.[16]
На додаток до нових плагінів, переписаної обробки TCP та інших функцій,
Snort представив можливості багатопоточності у версії Snort 3.0. Починаючи з Snort
3.0 і Snort, і Suricata пропонують можливості багатопоточності.
Мережеве виявлення вторгнень
Обидві системи є мережевими системами виявлення вторгнень (NIDS). NIDS
виявляє шкідливий трафік по всій мережі, дозволяючи організаціям відстежувати
свої хмарні, віртуальні та локальні мережеві середовища щодо підозрілих подій.
Виявлення вторгнень на основі сигнатур та аномалій Snort та Suricata
реалізують виявлення на основі сигнатур та аномалій. Виявлення на основі
сигнатур вимірює пакети відповідно до наперед визначеного набору правил, що
дозволяє організаціям з високою точністю виявляти загрози. З іншого боку,
виявлення аномалій використовує машинне навчання для моделювання базових
шаблонів трафіку, а потім попереджає організації про відхилення трафіку. Це
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 49
а
дозволяє адміністраторам бачити незвичайні моделі поведінки, котрим вони,
можливо, не створили набори правил. Поєднання двох методів виявлення
забезпечує чіткий та всебічний моніторинг, що робить Snort та Suricata дуже
потужними рішеннями.
Запобігання вторгненням Для організацій, які прагнуть вийти за рамки
виявлення, Snort та Suricata оснащені системами запобігання вторгненням. Системи
запобігання вторгненням вживають заходів для запобігання потенційним загрозам,
виявленим системами виявлення вторгнень.
Відмінності між Snort та Suricata Нині істотних відмінностей між цими двома
технологіями немає. Є невеликі відмінності в наборах правил, нових випусках
тощо, але знову ж таки вони незначні.
Наприклад, набори правил Snort розділені на набір правил спільноти та набір
правил передплатника , тоді як Suricata має набір правил ETOpen і набір правил
ETPro .
Набір правил спільноти Snort та набір правил Suricata ETOpen розроблено
завдяки вкладу спільноти. Набір правил спільноти Snort включає близько 4000
правил, а ETOpen – більше 40 000. ETOpen також отримує оновлення від
внутрішньої команди, тоді як набір правил спільноти Snort оновлюється виключно
спільнотою.
З іншого боку, набір правил передплатника та ETPro є відкритим вихідним
кодом і розробляються внутрішніми командами. Незважаючи на різницю в іменах,
обидва пакети поділяють свої набори правил однаково. Платні набори правил
розроблені цілеспрямованіше і складніше, ніж набори правил спільноти; вони
створені для стратегічного захисту від сучасних шкідливих програм і покладаються
виключно зусилля краудсорсинга. Функціонально обидва платні набори правил
майже еквівалентні. Єдина різниця полягає в тому, що в залежності від вашого
варіанта використання (вдома або в бізнесі) один варіант може мати нижчу вартість
передплати, ніж інший.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 50
а
РОЗДІЛ 3
ФОРМУВАННЯ ПІДСИСТЕМИ ЗАХИСТУ ВІД НЕГАТИВНИХ
КІБЕРНЕТИЧНИХ ВПЛИВІВ
3.1 Cигнатура систем виявлення атак
Мережева IDS сигнатура – набір даних, які хочемо знайти у трафіку.
Розглянемо деякі приклади та методи, які дозволяють їх ідентифікувати:
Спроби підключення із зарезервованої IP-адреси. Можуть бути легко
виявлені простою перевіркою поля адреси в заголовку IP.
Пакети з неприпустимими комбінаціями TCP-прапорців. Можуть бути
знайдені порівнянням набору прапорців у заголовку TCP з відомими допустимими
або недопустимими комбінаціями прапорців.
Електронні повідомлення, які містять певні віруси. IDS може порівняти
ім'я поля об'єкта або вкладення відомих імен, пов'язаних з відомими вірусами.
Переповнення буфера в DNS під час використання неприпустимого
запиту. Аналіз DNS полів та перевірка довжини кожного з них допомагає
ідентифікувати спробу переповнення буфера.
DoS проти POP3 сервера шляхом виклику однієї і тієї ж команди тисячі
разів. Сигнатура для цього типу нападу повинна зберігати інформацію про те,
скільки разів було викликано команду та попередження, коли це число перевищить
деякий поріг.
Спроба запиту файлу на сервері FTP без попередньої реєстрації.
Сигнатура повинна попереджати у випадку, коли відбулася спроба виклику
команди без підтвердження справжності.
З наведеного списку видно, що діапазон сигнатур змінюється від дуже
простих типу перевірки значень поля заголовка - до дуже складних сигнатур, які
можуть простежувати стан підключення або виконувати аналіз протоколу.
Можливості сигнатур залежить від конкретних IDS систем, тобто. деякі з описаних
методів не можуть бути здійснені у IDS. Деякі IDS системи концентруються на
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 51
а
використанні власних сигнатур, інші дозволяють впроваджувати практично будь-
яку сигнатуру, яку ви тільки зможете придумати. Також деякі IDS програми
будують свою роботу на аналізі деяких заголовків або частин пакету, тоді як інші
дозволяють перевіряти дані будь-якої частини пакета.
Деякі сигнатури можуть повідомити вам, що відбувається спроба певного
типу нападу або хтось намагається експлуатувати відомі вразливості у програмних
продуктах, тоді як інші сигнатури можуть лише виявляти незвичайну поведінку,
при цьому не обов'язково має відбуватися ідентифікація типу нападу. Деякі
сигнатури здатні, за певної витрати часу та програмних ресурсів, ідентифікувати
інструмент, яким нападник намагається викликати зловмисну дію, і це дасть вам
докладну інформацію щодо того, як, ким і чому ви атаковані, та які подальші
наміри зловмисника.
Ідентифікація можливих компонентів сигнатури
Найкращий спосіб зрозуміти проблеми розробки сигнатур, що ґрунтуються
на значеннях заголовків – розглянути конкретний приклад. Так, synscan -
інструмент, що широко використовується в дослідженні систем.
Слід шукати значення, які є незвичайними або підозрілими - в більшості
випадків ці характеристики відповідають уразливості, яку хакер намагається
експлуатувати, або певній методиці, яка використовується для нападу.
Вибір сигнатури
Може бути безліч різних варіантів для розробки сигнатури на основі
заголовка, оскільки сигнатура може містити будь-який вибраний елемент або їхню
комбінацію. Проста сигнатура базувалася на пакетах з набором SYN і FIN
прапорців. Хоча це і є хорошим індикатором ймовірної зловмисної дії, він не дасть
нам відповіді, чому ця небезпечна дія стала можливою. Зрозуміло, що SYN і FIN
традиційно використовуються разом, щоб обійти міжмережевий захист та інші
захисні пристрої, але їхня присутність може означати, що проводиться просто
сканування нашого захисту, йде збір інформації або почався напад. Так що
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 52
а
сигнатура, заснована лише на SYN та FIN, може бути надто проста, щоб бути
дійсно корисною.
З іншого боку, сигнатура, що ґрунтується на всіх п'яти обраних підозрілих
характеристиках, має бути більш визначеною. Так, вона забезпечить нас набагато
точнішою інформацією про джерело нападу, але буде набагато менш ефективною,
ніж сигнатура, яка перевіряє лише одне значення заголовка. Розвинені сигнатури
– завжди компроміс між ефективністю та точністю. У більшості випадків прості
сигнатури більш схильні до помилкових тривог, ніж складніші сигнатури, через
свою прямолінійність. Але тут, щоправда, варто враховувати, що складніші
сигнатури частіше можуть застаріти і ставати схильний до фальшивих тривог,
через те, що якась одна з характеристик інструменту чи методології може змінитися
з часом.[18]
3.2 Інциденти безпеки
Аналіз та дослідження інцидентів безпеки IDS (системи виявлення
вторгнень) є важливою складовою роботи зі забезпечення кібербезпеки. Цей
процес включає виявлення, аналіз та відповідь на виявлені загрози в мережі.
Основна мета аналізу та дослідження інцидентів безпеки IDS - зрозуміти характер
атаки, виявити уразливості та забезпечити подальше покращення безпеки мережі.
Основні етапи аналізу та дослідження інцидентів безпеки IDS:
Виявлення інциденту є початковим етапом процесу аналізу та дослідження
безпеки IDS. Під час цього етапу система IDS спостерігає мережевий трафік і шукає
ознаки атак або ненормальної активності, які можуть свідчити про можливі загрози
безпеці.
Методи виявлення інцидентів безпеки IDS включають:
Сигнатурний аналіз: Система IDS перевіряє вхідний трафік на відповідність
заздалегідь визначеним сигнатурам атак. Ці сигнатури базуються на відомих
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 53
а
шаблонах зловмисних дій або аномальних активностей. Якщо виявляється збіг з
будь-якою сигнатурою, система IDS сповіщає про можливий інцидент.
Виявлення аномалій: Система IDS аналізує мережевий трафік та будує
базовий профіль нормальної активності. Після цього вона контролює відхилення
від цього профілю та виявляє аномальні активності, які можуть бути ознаками
атаки або порушення безпеки.
Стандартний формат базового профілю нормальної активності може
включати наступні елементи:
1. Часові параметри: Вказується період, протягом якого збиралися дані
для профілю. Це може бути одиниця виміру часу, наприклад, години, дні або тижні.
2. Користувачі: Перелік користувачів, для яких були зібрані дані. Можуть
бути вказані ідентифікатори або імена користувачів.
3. Ресурси: Перелік ресурсів (файлів, програм, сервісів тощо), до яких
користувачі мають доступ і які використовуються в процесі їхньої роботи.
4. Параметри активності: Опис типових дій, що виконуються
користувачами на ресурсах. Це можуть бути дії, такі як читання, запис, виконання
програм, доступ до баз даних тощо.
5. Обсяг даних: Вказується типичний обсяг даних, з якими працюють
користувачі. Це може бути обсяг файлів, обсяги запитів до баз даних або обсяг
передачі даних по мережі.
6. Мережева активність: Якщо досліджується мережева активність, то в
профілі можуть бути вказані типові мережеві з'єднання, порти, IP-адреси та
шаблони мережевої активності.
Важливо зауважити, що базовий профіль нормальної активності є
репрезентативним для типових дій та звичайних взаємодій, які спостерігаються в
системі або мережі. Він слугує початковою точкою відліку для порівняння з
майбутніми активностями та виявленням аномалій.
Відхилення від базового профілю нормальної активності може бути виявлено
та представлено у наступних формах:
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 54
а
1. Аномальні дії: Виявлення незвичних або непередбачуваних дій, які
відрізняються від типових дій, описаних у базовому профілі. Наприклад,
некоректний доступ до обмежених ресурсів, незвичайні запити до баз даних або
невідомі команди виконання програм.
2. Незвичайний обсяг даних: Виявлення несподіваного збільшення або
зменшення обсягу даних, які обробляються або передаються користувачами.
Наприклад, великі файли, які раніше не спостерігалися, або дуже малі обсяги даних
у порівнянні з типовими обсягами.
3. Нетипова мережева активність: Виявлення незвичайних мережевих
з'єднань, незнайомих IP-адрес, портів або шаблонів мережевої активності, які не
відповідають звичайному зразку. Наприклад, незвичайна зовнішня комунікація або
надмірне використання мережевих ресурсів.
4. Зміни у часових параметрах: Виявлення змін у розподілі часу, в якому
відбуваються дії або мережева активність. Наприклад, незвичайні патерни
активності під час певних годин або днів, аномально довгі або короткі інтервали
між подіями.
Ці відхилення можуть бути виявлені за допомогою методів виявлення
аномалій, які порівнюють активність з базовим профілем та виявляють відхилення,
що можуть свідчити про потенційні загрози або незвичайну активність.
Поведінковий аналіз: Цей метод включає вивчення типового поведінкового
шаблону системи та виявлення незвичайних дій, що можуть вказувати на атаку або
порушення безпеки. Система IDS аналізує послідовність подій і виявляє відхилення
від очікуваного поведінки.ids
Журналювання аномальних ситуацій використовується для реєстрації та
документування подій, які можуть вказувати на потенційні проблеми, вразливості
або вторгнення в систему. Ось кілька типових ситуацій, коли можуть бути
зареєстровані аномальні події:
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 55
а
1. Невдалі аутентифікації: Записи про невдалі або спроби неуспішної
аутентифікації користувачів можуть свідчити про спроби несанкціонованого
доступу до системи.
2. Незвичайні запити або команди: Зареєстровані запити або команди, які
не відповідають типовомушаблону або надмірно використовують привілеї, можуть
свідчити про вторгнення або некоректну поведінку користувачів.
3. Виявлення шкідливих програм або вірусів: Записи про виявлення
шкідливих програм, вірусів або інших загроз можуть служити ознакою аномальної
активності або спроби компрометації системи.
4. Надмірна навантаженість або використання ресурсів: Журнали можуть
фіксувати ситуації, коли певні компоненти системи перевантажені або
використовують незвичайно велику кількість ресурсів, що може бути ознакою
атаки або неефективної роботи.
5. Несанкціонований доступ до файлив або ресурсів: Записи про спроби
доступу до обмежених або конфіденційних файлів, каталогів або ресурсів можуть
вказувати на порушення безпеки або спроби несанкціонованого доступу.
Ці типові ситуації можуть бути виявлені і зафіксовані через систему
журналювання, яка реєструє події, що відповідають певним правилам або
шаблонам, і дозволяє адміністраторам системи аналізувати їх для виявлення
потенційних загроз або вразливостей.
Виявлення вразливостей: Система IDS сканує мережу для виявлення
вразливих систем або слабких місць, які можуть бути використані для атаки. Це
дозволяє ідентифікувати потенційні ризики та прийняти відповідні заходи безпеки.
Виявлення інциденту є постійним процесом, який відбувається в реальному
часі. При виявленні підозрілого або зловмисного трафіку, система IDS генерує
сповіщення або спрацьовує певні заходи безпеки, такі як блокування з'єднання або
сповіщення адміністратора. Це дозволяє оперативно реагувати на інциденти та
мінімізувати їхні наслідки.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 56
а
Збір доказів є важливим етапом аналізу та дослідження інцидентів безпеки
IDS. Під час цього етапу збираються необхідні дані і інформація, які допоможуть
у подальшому розслідуванні та встановленні причини інциденту. Збір доказів може
включати наступні дії:
Запис журналів трафіку: IDS система може записувати журнали мережевого
трафіку, які містять інформацію про всі виявлені події та активності. Це може
включати деталі про зловмисні пакети, використані протоколи, джерела та
призначення трафіку тощо. Журнали трафіку можуть бути важливими доказами
для подальшого аналізу та розслідування.
Журнали мережевого трафіку можуть містити цікаву інформацію про події
та активності, що відбуваються в мережі. Ось декілька типових ситуацій, які
можуть бути зафіксовані в журналах мережевого трафіку:
1. Несанкціонований доступ до мережі: Журнали можуть відображати
спроби несанкціонованого доступу до мережі, такі як невдалі аутентифікації,
спроби зламу пароля або незвичайні запити на ресурси мережі.
2. Атаки на мережеві протоколи: Журнали можуть показувати спроби
атак на мережеві протоколи, такі як сканування портів, перехоплення пакетів,
відправка фальшивих запитів тощо.
3. Виявлення шкідливих програм або вірусів: Записи про зареєстровані
загрози, шкідливі програми або віруси можуть свідчити про аномальну активність
в мережі та потенційні загрози безпеці.
4. Витоків даних: Журнали можуть вказувати на незвичайну передачу
даних або витоків інформації, що може бути ознакою порушення конфіденційності
даних.
5. Надмірна мережева активність: Записи про надмірне використання
мережевих ресурсів або несподівану активність можуть вказувати на проблеми зі
шкалуванням, атаки типу DoS або зловмисницьку діяльність.
6. Аномальні мережеві з'єднання: Журнали можуть вміщувати
інформацію про незвичайні або сумнівні мережеві з'єднання, такі як зовнішні
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 57
а
підключення, підключення з небезпечних або невідомих джерел, або незвичайні
шаблони поведінки.
Ці типові ситуації з журналів мережевого трафіку можуть служити
важливими підказками для виявлення потенційних загроз безпеці мережі та
допомагати адміністраторам реагувати на них вчасно.[14]
Запис логів подій: IDS система може також записувати логи подій, які містять
інформацію про всі виявлені інциденти, сповіщення та дії, які були здійснені
системою IDS. Ці логи можуть включати деталі про час виявлення, тип інциденту,
використані правила або сигнатури, відповідність знайдених загроз іншим базам
даних тощо. Логи подій можуть бути корисними доказами для подальшого аналізу
та спостереження.
Збір інформації про систему та мережу: Під час збору доказів також можна
збирати інформацію про систему IDS, налаштування, версії програмного
забезпечення та апаратного забезпечення. Також можна збирати інформацію про
мережеву інфраструктуру, включаючи склад та конфігурацію мережевих
пристроїв, підключені системи та сервіси. Ця інформація допоможе в подальшому
аналізі та встановленні можливих причин інциденту.
Збір доказів з інших джерел: У разі виявлення інциденту може бути
необхідно збирати докази з інших джерел, таких як системні журнали, журнали
брандмауера, журнали доступу, файли журналів аудиту тощо. Це може допомогти
у встановленні шляху атаки, ідентифікації вразливостей та виявленні можливих
наслідків інциденту.
Документування зібраних доказів: Важливо детально документувати зібрані
докази, включаючи дату, час, спосіб збору, джерело, опис та контекст. Це
допоможе в подальшому аналізі, розслідуванні та звітуванні про інцидент.
Збір доказів є критичним етапом для проведення ефективного аналізу та
дослідження інцидентів безпеки IDS. Зібрані докази допоможуть у встановленні
причин інциденту, виявленні вразливостей та прийнятті заходів для запобігання
подібним інцидентам у майбутньому.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 58
а
Аналіз інциденту є важливим етапом процесу дослідження інцидентів
безпеки IDS. Після виявлення інциденту та збору відповідних доказів, необхідно
провести його аналіз для розуміння та оцінки характеристик, причин і можливих
наслідків.
Основні кроки аналізу інциденту включають:
Класифікація інциденту: Першим кроком є класифікація інциденту, щоб
визначити його тип і характер. Це може бути атака на вразливість, витік даних,
втрата доступу, аномальна активність тощо. Класифікація допоможе зрозуміти, з
яким типом інциденту ви маєте справу і які можуть бути його можливі наслідки.
Розуміння причин: Далі необхідно визначити причини інциденту. Це може
включати виявлення вразливостей у системі, недостатню безпеку мережі,
недостатню конфігурацію IDS, зловмисну активність або невідомі загрози. Аналіз
причин допоможе з'ясувати, як і чому інцидент стався, і встановити основні
фактори, які сприяли його виникненню.
Визначення обсягу і пошкодження: Оцінка обсягу і пошкодження інциденту
допоможе визначити, які ресурси або дані були скомпрометовані або пошкоджені.
Це може включати виявлення втрати даних, недоступність системи, пошкодження
файлів або порушення конфіденційності. Визначення обсягу і пошкодження
інциденту допоможе вам оцінити його серйозність і вплив на бізнес.
Подальший аналіз: Залежно від типу інциденту і доступних доказів, можуть
бути проведені додаткові аналітичні дослідження. Це може включати детальний
аналіз трафіку, виявлення інших асоційованих подій або зловмисних активностей,
встановлення походження атаки або ідентифікацію зловмисників.
Документування результатів: Важливо документувати всі виявлені факти,
результати аналізу та висновки. Це допоможе вам створити звіт про інцидент і
зберегти цінну інформацію для подальшого використання, включаючи
рекомендації щодо поліпшення безпеки та запобігання подібним інцидентам у
майбутньому.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 59
а
Аналіз інцидентів безпеки IDS допомагає розкрити причини і наслідки
інцидентів, виявити уразливості та встановити ефективні заходи безпеки. Це
важливий процес для підвищення безпеки мережі та захисту від загроз.
Інцидент-відповідь: Розробка та впровадження плану відповіді на інцидент.
Цей етап включає прийняття заходів для припинення атаки, відновлення безпеки
мережі, захисту комп'ютерних ресурсів та встановлення запобіжних заходів для
майбутньої безпеки.
Інциденти безпеки, які можуть бути виявлені системою IDS Suricata, можуть
включати різноманітні атаки та зловмисні дії, які спрямовані на компрометацію
мережі. Ось декілька прикладів можливих інцидентів безпеки, які можуть бути
виявлені системою IDS Suricata:
1. Атаки на вразливості в мережевих протоколах:
Використання вразливостей в протоколах TCP/IP, таких як ARP-
отрутизація або IP-фрагментація, для здійснення атак типу "Man-in-the-Middle" або
впровадження зловмисного трафіку.
Використання вразливостей в протоколах HTTP або FTP для зламу
аутентифікації, виконання віддаленого коду або отримання несанкціонованого
доступу до веб-сайтів чи файлових серверів.
2. Атаки на захисні механізми мережі:
Спроби обхіду правил файрволу або системи виявлення вторгнень за
допомогою обфускації або шифрування трафіку.
Використання «denial-of-service attack», таких як SYN або UDP флуд,
для перевантаження мережевих ресурсів та зниження доступності системи.
3. Виявлення зловмисних програм та шкідливого коду:
Виявлення розповсюдження шкідливих програм або вірусів через
мережу.
Виявлення спроб виконання шкідливого коду або вторгнення через
експлойти веб-додатків або інших програм.
4. Виявлення невідповідності політикам безпеки:
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 60
а
Виявлення спроб несанкціонованого доступу до ресурсів мережі або
порушення правил доступу.
Виявлення ненормальної або аномальної активності, що може свідчити
про несанкціонований доступ або вторгнення.
5. Атаки на периметр мережі:
Виявлення спроб проникнення або сканування мережевих портів і
послуг зовнішніх ворот, що може вказувати на підготовку атаки.
Виявлення спроб проникнення через VPN-з'єднання або інші засоби
зовнішнього доступу.
6. Зловживання привілеями та аутентифікаційні атаки:
Виявлення спроб несанкціонованого підвищення привілеїв або зламу
аутентифікації для отримання несанкціонованого доступу до системи або ресурсів.
7. Атаки на безпеку додатків та веб-сайтів:
Виявлення спроб використання вразливостей в додатках або веб-сайтах
для отримання доступу до конфіденційної інформації, зміни або видалення даних,
або виконання зловмисного коду.
8. Відкриття задніх дверей та внутрішні атаки:
Виявлення намагань зловмисників отримати несанкціонований доступ
до системи з внутрішньої мережі, наприклад, шляхом використання задніх дверей
або скомпрометованих облікових записів.
Розкриття сутності поняття інциденту інформаційної безпеки допомагає
розкрити характеристики потенційного порушника, зрозуміти причини та процес
виникнення інциденту. Ця робота сприяє формуванню загального уявлення про
процес розслідування інцидентів інформаційної безпеки, хоча кожен етап цього
процесу може стати окремою темою для подальшого дослідження.
Впровадження організаціями процесу розслідування інцидентів
інформаційної безпеки має такі переваги:
Підвищення рівня інформаційної безпеки.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 61
а
Зосередження уваги на запобіганні інцидентам шляхом виявлення
винних осіб та причин їх виникнення.
Зменшення негативного впливу на бізнес-процеси організації.
Можливість коригування політики інформаційної безпеки організації.
Впровадження процесу розслідування інцидентів інформаційної безпеки
допомагає захищати свою інформацію, виявляти та реагувати на потенційні
загрози, а також забезпечувати безпеку своїх бізнес-процесів.[19]
3.3 Налаштування Suricata
В цьому підрозділі буде встановлений Suricata на Ubuntu. Будуть внесені
зміни до конфігурації, включаючи додавання ідентифікатора потоку спільноти і
увімкнення перезавантаження правил в реальному часі, запуск Suricata і перевірка
його роботу з тестовим HTTP-трафіком. Перевіримо як працює IDS Suricata в
різних умовах. Та покажу результати перевірки налаштування IDS Suricata.
Вимоги системи:
Мінімум 4 Гб оперативної пам’яті та багатоядерний процесор для кращої
продуктивності.
Приклади системних параметрів, які можуть бути налаштовані при
встановленні системи виявлення вторгнень (IDS), а також можливі аномальні
відхилення
Частота оновлення сигнатур: IDS використовує сигнатури для виявлення
відомих атак. Системний параметр - періодичність оновлення сигнатур (наприклад,
щогодини або щодня). Аномальне відхилення - відсутність оновлень сигнатур
протягом тривалого періоду або затримки у їх оновленні, що може призвести до
неспроможності виявлення нових атак.
Рівень чутливості: Цей параметр визначає, які типи активності в мережі
вважатимуться підозрілими або аномальними. Наприклад, вищий рівень
чутливості може призводити до більшого числа спрацьовувань тривог, включаючи
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 62
а
потенційно неважливі події. Аномальне відхилення - надмірне спрацьовування
тривог при низькому рівні активності або нездатність виявити справжні загрози
при низькому рівні чутливості.
Конфігурація правил: IDS може використовувати правила для визначення
аномальних або небезпечних дій. Параметри конфігурації правил включають
список заборонених або дозволених дій, визначення портів або протоколів, що
вважаються ризиковими і т.д. Аномальне відхилення - зміни в правилах, які
дозволяють небезпечні дії, або недостатньо жорсткі правила, які не виявляють
певні типи атак.
Моніторинг ресурсів: IDS може вимагати певних ресурсів (процесорний час,
пам'ять, мережевий пропускний здатність і т.д.). Системний параметр -
максимально допустиме використання ресурсів IDS. Аномальне відхилення -
надмірне споживання ресурсів, що може призвести до погіршення продуктивності
системи або недостатньої ефективності виявлення атак.
Журналювання подій: IDS може записувати події та тривоги для подальшого
аналізу. Параметри журналювання включають рівень деталізації, збереження
терміну журналу, розміщення журналів і т.д. Аномальне відхилення - нездатність
записувати події, втрати журналів або неправильну конфігурацію параметрів
журналювання.
Важливо враховувати, що конкретні системні параметри та їх аномальні
відхилення можуть варіюватися залежно від конфігурації конкретної системи IDS
та її постановки використання.
При застосуванні встановленої системи виявлення вторгнень (IDS) аналітик
або відповідальна особа за захист може звернути увагу на наступні параметри
системи та мережі:
Журнали подій: Аналітик може переглядати журнали подій, щоб виявити
будь-які аномальні або підозрілі активності, такі як спроби несанкціонованого
доступу, зміни прав доступу, відправка аномальних запитів тощо.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 63
а
Мережевий трафік: Вивчення мережевого трафіку може допомогти виявити
аномальні пакети або потоки даних, такі як надмірна активність, використання
незвичайних портів, незвичайні протоколи тощо.
Аналіз поведінки: IDS може використовувати аналіз поведінки для
виявлення змін у звичайному поведінці системи або користувачів. Аналітик може
звернути увагу на відхилення від типових активностей, такі як несподівані дії,
незвичайні запити або поведінку користувачів.
Сигнатури атак: IDS може мати базу даних з підписами відомих атак.
Аналітик може перевірити, чи співпадають активності в мережі з цими сигнатурами
атак, що може вказувати на потенційні загрози.
Зовнішні загрози: Аналітик може слідкувати за зовнішніми загрозами,
такими як відомі атаки або нові види загроз, що цілеспрямовано на певні системи
або мережі. Вони можуть бути виявлені шляхом моніторингу повідомлень про
безпеку та звітів від інших організацій.
Аналіз вразливостей: Виявлення вразливостей в системі та мережі може
допомогти в уникненні можливих атак. Аналітик може перевірити системи на
наявність вразливостей та забезпечити вжиття заходів для їх виправлення.
Реагування на події: Важливим параметром є швидкість реагування на
виявлені загрози або аномалії. IDS може підтримувати механізми автоматичного
реагування, такі як блокування певних IP-адрес або відправка сповіщень
адміністраторам для подальшої ручної обробки.
Ці параметри допомагають аналітику або відповідальній особі за захист
системи та мережі ідентифікувати потенційні загрози та приймати відповідні
заходи для забезпечення безпеки.
Встановлено та налаштовано Suricata на Ubuntu на віртуальній машині Virtual
Box
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 64
а
Рисунок 3.1 – Робота віртуальної машини Virtual Box
Встановлення Suricata
Додано спеціальний репозиторій PPA, і після оновлення індексу можна
встановити Suricata.
При налаштуванні системи IDS Suricata можна врахувати різні параметри,
які пов'язані з різними аспектами її роботи. Ось декілька прикладів параметрів та
їх зв'язок з роботою системи IDS Suricata:
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 65
а
Правила виявлення (Detection rules): Параметри, пов'язані з правилами
виявлення, визначають, які типи мережевої активності вважаються підозрілими
або аномальними. Ці параметри включають у себе правила Snort/Suricata, які
визначають сигнатури атак або аномальний трафік для виявлення загроз.
Налаштування цих параметрів впливає на точність виявлення атак та спрацювання
тривог.[12]
Протоколи та порти (Protocols and ports): IDS Suricata може бути
налаштований для спостереження за конкретними мережевими протоколами та
портами, які вважаються ризиковими або цікавими з точки зору безпеки.
Налаштування цих параметрів дозволяє IDS фокусуватись на певних протоколах
або портах та виявляти аномальну активність в цих областях.
Потоковий обробник (Stream Processor): IDS Suricata використовує
потоковий обробник для аналізування мережевих потоків та виявлення аномальних
патернів або атак. Параметри потокового обробника визначають поведінку IDS при
обробці мережевих потоків, такі як максимальний розмір буфера, тайм-аут з'єднань
і т.д. Налаштування цих параметрів впливає на ефективність виявлення атак та
обробку трафіку.
Параметри журналювання (Logging parameters): IDS Suricata може зберігати
журнали подій для подальшого аналізу та моніторингу. Параметри журналювання
визначають рівень деталізації журналів, місце збереження журналів, формат
журналів і т.д. Налаштування цих параметрів дозволяє контролювати обсяг і якість
журналів для виявлення аномалій та подальшого аналізу.
Після інсталяції Suricatа я перевіряю, яка версія Suricata запущена і з якими
параметрами, а також стан служби
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 66
а
Встановлена версія 6.0.12
Переглядаючи контент директорії /etc/suricata/, можна помітити директорію
rules, де міститься набір правил, який встановлюється разом із Suricata.
Переглядаючи директорію, можна ознайомитись зі списком всіх правил
різних типів, що мають в основі певні протоколи.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 67
а
Каталог /etc/suricata/ зазвичай містить правила (rules) для системи виявлення
вторгнень Suricata. Правила визначають вимоги до трафіку мережі і допомагають
ідентифікувати потенційні атаки або аномальну активність.
Правила Suricata зазвичай записуються у файлі з розширенням .rules, який
може бути розташований у каталозі /etc/suricata/rules/ або /etc/suricata/rules/. Ці
правила описують специфічні шаблони або сигнатури, які вказують Suricata, як
розпізнати певні види мережевого трафіку.
Наявність правил дозволяє Suricata аналізувати мережевий трафік у
реальному часі та порівнювати його з цими правилами. Якщо трафік відповідає
шаблону або сигнатурі, вказаній в правилах, Suricata спрацьовує і відбувається
виявлення вторгнень або аномалій. В результаті цього можуть бути спрацьовані
тривоги, записані журнали або вжиті інші заходи захисту мережі.
Правила Suricata є важливим інструментом для виявлення вторгнень та
аналізу мережевого трафіку. Вони допомагають забезпечити безпеку мережі та
ідентифікувати потенційні загрози для системи.
Базове налаштування. Визначаємо інтерфейс та IP-адресу, на яких Suricata
має перевіряти мережеві пакети.[3]
Мій інтерфейс enp0s3
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 68
а
Використовую цю інформацію, щоб налаштувати Suricata.
Файл suricata.yaml є конфігураційним файлом для Suricata, системи
виявлення вторгнень (IDS). В цьому файлі задаються налаштування і параметри
роботи Suricata, включаючи правила (rules) для виявлення вторгнень.
Файл suricata.yaml дозволяє гнучко налаштовувати роботу Suricata
відповідно до конкретних потреб і вимог безпеки мережі. Визначення правил для
виявлення вторгнень у цьому файлі дозволяє Suricata аналізувати мережевий трафік
і виявляти потенційно шкідливу або аномальну активність. Це допомагає
забезпечити безпеку мережі, виявляти атаки та запобігати небажаному доступу до
системи.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 69
а
Suricata може включати поле ідентифікатора спільноти у вихідні дані JSON,
щоб полегшити порівняння окремих записів подій із записами в наборах даних,
створених іншими інструментами (інструментами, такими як Zeek або
Elasticsearch).
За замовчуванням Suricata створює файл журналу та зберігає журнали у
форматах json. Тому я вмикаю функцію ідентифікації спільноти.
Ця конфігурація використовує найновіші рекомендовані налаштування для
режиму роботи IDS для базових налаштувань. Наступне, що я змінюю, це rule-path.
Я додаю файл користувацьких правил.
Правила (rules) є важливою складовою систем виявлення вторгнень (IDS) і
систем виявлення поведінки (IPS). Вони визначають шаблони або сигнатури, які
IDS/IPS використовує для виявлення певних видів атак або аномальних дій у
мережі.
Правила вказують IDS/IPS, як розпізнавати конкретні види загроз або
аномальних активностей. Вони можуть бути базовими (загальними правилами для
виявлення типових атак) або спеціалізованими (створеними для виявлення
конкретних видів атак, специфічних для певного середовища).
Переваги використання правил в системах IDS/IPS:
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 70
а
1. Виявлення загроз: Правила дозволяють IDS/IPS розпізнавати шаблони
загроз та атак у мережі. Вони можуть включати в себе підписи відомих
вразливостей, аномальних мережевих пакетів, характерних дій атакувачів тощо.
2. Швидкість виявлення: Завдяки передбаченому шаблону правил,
IDS/IPS може швидко реагувати на виявлення атак та аномальної активності. Це
дозволяє забезпечити оперативну реакцію на потенційну загрозу.
3. Гнучкість налаштувань: Правила можуть бути налаштовані залежно
від потреб мережі та специфічних загроз. Вони можуть бути включені або
виключені, змінювати рівень чутливості чи пріоритет, враховувати специфічні
властивості середовища тощо.
4. Ідентифікація нових загроз: Використання правил дозволяє IDS/IPS
виявляти нові види атак або використання невідомих раніше вразливостей. Це
допомагає виявляти і реагувати на еволюцію загроз у мережі.
Використання правил в системі IDS/IPS допомагає забезпечити забезпечити
надійний рівень безпеки мережі та виявляти загрози в реальному часі. Проте
важливо регулярно оновлювати правила, враховувати нові загрози та вразливості,
щоб система залишалась ефективною в області виявлення атак.
Необхідно запустити Suricata один раз, щоб зміни відобразилися.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 71
а
Коли оновлення буде завершено, програма збирається виконати тест
конфігурації Suricata, щоб переконатися, що немає нічого поганого в параметрах і
синтаксисі, які я використовую
Suricata пропонує можливість вказувати власні джерела, тому за
замовчуванням вона дозволяє мені вибирати джерела, з яких я хотів б отримати
правила.
Щоб додати або ввімкнути malsiro/win-malware.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 72
а
Команда "suricata-update" використовується для оновлення правил (rules)
IDS/IPS Suricata. При виконанні цієї команди, Suricata оновлює свою базу правил,
що дозволяє йому розпізнавати нові загрози та атаки.
Команда "suricata-update" налаштовує такі параметри:
1. Джерела правил: Команда "suricata-update" визначає, з яких джерел
отримувати правила. Зазвичай це офіційні репозиторії Suricata та сторонні джерела,
які надають актуальні правила для розпізнавання загроз.
2. Конфігураційні параметри: Команда дозволяє налаштовувати різні
параметри оновлення правил, такі як інтервал оновлення, періодичність перевірки
наявності оновлень, шлях до зберігання правил тощо. Ці параметри можуть бути
відрегульовані для відповідності потребам організації або мережі.
Вплив команди "suricata-update" на роботу Suricata в аномальних
відхиленнях:
1. Актуальність правил: Оновлення правил дозволяє Suricata виявляти
нові атаки та загрози, що з'являються. Це забезпечує більш високий рівень
ефективності при виявленні аномальних відхилень, оскільки система буде мати
актуальні дані для розпізнавання нових загроз.
2. Виправлення помилок: Оновлення правил також включає виправлення
помилок або недоліків, що були виявлені в попередніх версіях правил. Це поліпшує
точність виявлення та зменшує кількість помилкових спрацювань системи.
3. Врахування нових загроз: В аномальних відхиленнях важливо мати
змогу виявляти нові типи атак та вразливостей. Оновлення правил дозволяє
включати нові сигнатури та патерни для розпізнавання нових загроз, що забезпечує
більш широкий охоплення виявлення аномальних відхилень.
В цілому, використання команди "suricata-update" дозволяє підтримувати
Suricata в актуальному стані, забезпечуючи йому необхідні правила для виявлення
та реагування на аномальні відхилення в мережі.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 73
а
У разі аномальних відхилень, команда "sudo systemctl status suricata.service"
надає інформацію про стан служби Suricata IDS, включаючи індикацію, чи служба
працює, чи виникла помилка, чи служба успішно запущена, а також інші подробиці
про стан і роботу Suricata IDS.
Загально кажучи, команда "sudo systemctl status suricata.service" не впливає
на роботу засобу в аномальних відхиленнях, а лише надає інформацію про статус
служби, яка відповідає за виконання Suricata IDS.
Я хочу вказати власні правила та фактичний файл конфігурації, але спочатку
мені потрібно запустити Suricata.
Активний статус означає, що Suricata фактично відстежує мережевий трафік
і реєструє всі логи до каталогу.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 74
а
Журнали Suricata IDS, збережені в директорії /var/log/suricata, можуть бути
використані для аналізу виявлених аномалій, відстеження подій, розробки власних
правил виявлення, налагодження роботи системи та вирішення проблем,
пов'язаних з безпекою мережі. Вони забезпечують інформацію про потенційні
загрози, події мережевого трафіку та виявлені вразливості, які можуть бути
використані для подальшого аналізу та прийняття заходів щодо захисту мережі.
Щоб запустити швидкий тест, я використовую одне з правил Suricata, яке
включено у файл правил за замовчуванням.
Надісланий HTTP - запит призначений для ініціювання попередження
шляхом імітації виводу команди id , яка може виконуватися на скомпрометованій
віддаленій системі через оболонку.
$ grep 2100948 /var/log/suricata/fast.log
Перевіряємо запис журналу у файлі журналу /var/log/suricata/fast.log, який
відповідає запиту curl за допомогою команди grep . Ми шукатимемо записи
журналу за допомогою ідентифікатора правила 2100498 із документації Quickstart.
[**] [1:2100498:7] GPL ATTACK_RESPONSE id check returned root [**]
[Classification: Potentially Bad Traffic] [Priority: 2] {TCP} 13.226.210.123:80 ->
173.82.235.7:33822
Отримуємо наступний результат, який означає
вторгнення. Тут 173.82.235.7 є публічною IP-адресою сервера.
Крім цього ми перевірили файл /var/log/suricata/eve.log на ідентифікатор
підпису 2100498. Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 75
а
Після встановлення Suricata і внесення змін до конфігурації, включаючи
додавання ідентифікатора потоку спільноти і увімкнення перезавантаження правил
в реальному часі, я запустив Suricata і перевірили його роботу з тестовим HTTP-
трафіком. Результати перевірки підтвердили, що Suricata може виявляти підозрілий
трафік.
Це важливий крок для перевірки налаштувань Suricata і переконався, що він
працює належним чином. Шляхом створення тестового HTTP-трафіку я перевірив,
чи виявляє Suricata підозрілі пакети, використовуючи встановлені правила і
сигнатури.
Результати перевірки тестового HTTP-трафіку дають мені впевненість, що
Suricata може ефективно реагувати на потенційно шкідливий трафік і виявляти
його з використанням налаштованих правил. Це дає мені можливість реагувати на
потенційні загрози безпеки і приймати відповідні заходи для їх запобігання або
реагування.
Загальне виявлення підозрілого трафіку Suricata є підтвердженням його
працездатності та ефективності як системи IDS. Тепер я можу продовжити
використовувати Suricata для моніторингу мережі та виявлення можливих загроз
безпеки.[6]
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 76
а
ВИСНОВОК
В ході даного дипломного дослідження було проведено обстеження, аналіз
та дослідження основних аспектів кібернетичної безпеки та захисту інформаційних
систем. Отримані результати та висновки надають можливість зробити важливі
висновки щодо сучасного стану безпеки в інформаційному середовищі, виявити
потенційні загрози та ризики, а також запропонувати ефективні методи та засоби
для їх управління та забезпечення належного рівня захисту.
Було проаналізовано такі пункти: Типові ситуації з журналювання
аномальних ситуацій, типові ситуації з журналів мережевого трафіку, параметри
системи та мережі, на які звертають увагу при налаштуванні IDS. Приклади
параметрів системи та аномальних відхилень, що виникають при встановленні IDS.
Команди та налаштування IDS Suricata, такі як suricata.yaml, suricata-update,
systemctl status suricata.service, ls -al /var/log/suricata. Важливість комплексного
підходу до кібернетичної безпеки, який враховує технічні, організаційні та
нормативно-правові аспекти. Аналіз правил і їх вплив на роботу IDS Suricata. Роль
журналів (логів) у виявленні та аналізі аномальних ситуацій.
В даній дипломній роботі було проведено наступні дії та дослідження: Аналіз
літературних джерел та огляд наявних підходів у галузі кібернетичної безпеки і
систем виявлення вторгнень (IDS). Вибір та налаштування IDS Suricata як засобу
виявлення вторгнень. Аналіз та налаштування параметрів системи та мережі, які
впливають на роботу IDS. Вивчення та аналіз правил IDS Suricata для виявлення
аномальної активності. Дослідження типових ситуацій з журналювання
аномальних ситуацій та мережевого трафіку. Формулювання рекомендацій щодо
поліпшення захисту інформаційних систем на основі проведених досліджень.
Головною метою даної дипломної роботи було розроблення та реалізація
комплексного підходу системи IDS/Suricata до кібернетичної безпеки, що враховує
не лише технічні засоби, але й організаційні аспекти, моніторинг та аналіз, політику
безпеки, та нормативно-правове регулювання.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 77
а
У даній дипломній роботі було сформовано наступне: Комплексний підхід
до кібернетичної безпеки: В роботі було розроблено та сформульовано
комплексний підхід до кібернетичної безпеки, який враховує не лише технічні
аспекти, але й організаційні аспекти, політику безпеки та нормативно-правове
регулювання. Цей підхід спрямований на ефективне забезпечення безпеки
інформаційних систем на різних рівнях. Аналіз і дослідження існуючих підходів та
методів
Налаштування та дослідження IDS Suricata: Було проведено налаштування
IDS Suricata як засобу виявлення вторгнень. Параметри системи та мережі були
налаштовані, а правила IDS були аналізовані і випробовувані. Це дозволило
оцінити ефективність роботи системи виявлення аномальної активності.
Результати були проаналізовані з метою виявлення проблемних ситуацій та
розробки рекомендацій для поліпшення захисту інформаційних систем.
Формулювання рекомендацій:
Загалом, результати цього дослідження підтверджують, що безпека
інформаційних систем є невід'ємною складовою сучасного суспільства. Для
ефективного управління кібернетичними загрозами та захисту інформації
необхідно постійно вдосконалювати технології, залучати фахівців з кібербезпеки
та використовувати сучасні методи та практики. Це сприятиме забезпеченню
стійкості та надійності інформаційних систем, захисту конфіденційності, цілісності
та доступності даних, а також підтримці довіри в цифровому середовищі.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 78
а
СПИСОК ВИКОРИСТАНОЇ ЛІТЕРАТУРИ
1. Anderson, R., & Moore, T. (2017). Security Engineering: A Guide to
Building Dependable Distributed Systems.
2. Bishop, M. (2003). Computer Security: Art and Science.
3. CERT Coordination Center (CERT/CC) website: https://www.cert.org/
4. Cheswick, W. R., Bellovin, S. M., & Rubin, A. D. (2003). Firewalls and
Internet Security: Repelling the Wily Hacker.
5. NIST Special Publication 800-61 Revision 2: Computer Security Incident
Handling Guide.
6. Pfleeger, C. P., & Pfleeger, S. L. (2018). Security in Computing.
7. RFC 2196: Site Security Handbook.
8. RFC 3552: Guidelines for Writing RFC Text on Security Considerations.
9. SANS Institute website: https://www.sans.org/
10. Schneier, B. (2015). Applied Cryptography: Protocols, Algorithms, and
Source Code in C.
11. Shostack, A. (2014). Threat Modeling: Designing for Security.
12. Stallings, W., & Brown, L. (2017). Computer Security: Principles and
Practice.
13. Богуславський А., Соколовська І., Гаврилюк Ю. та ін. Кібербезпека в
Україні: перспективи, виклики, шляхи розвитку. К.: Інститут економічних
досліджень та політичних консультацій, 2019.
14. Волощук Ю. Сучасні системи інформаційної безпеки. К.: Видавничий
дім "МАІ", 2011.
15. Інформаційна безпека в умовах глобалізації: монографія / За ред. М.
Стефанів, В. Качмарського. К.: Літера ЛТД, 2019.
16. Качмарський В. Кібернетична безпека. Вступ до проблеми. К.: Літера
ЛТД, 2013.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 79
а
17. Кравець В., Конотопець І. Інформаційна безпека в системах
електронного урядування: навчальний посібник. Львів: Видавництво Львівської
політехніки, 2015.
18. Литвиненко В., Оржель С. Кібернетична безпека України: сучасний
стан та виклики. К.: Національний інститут стратегічних досліджень, 2017.
19. МельникЮ., Лісняк О. Кібербезпека: виклики і реалії. К.: Видавництво
"Глобал-принт", 2015.
Лист
Зм Арк №Докум. Підп Дат ЧДТУ.22.21090.005 ПЗ 80
а