МЕТОДИКА ВИЯВЛЕННЯ НЕСАНКЦІОНОВАНИХ ОБЧИСЛЮВАЛЬНИХ ПРОЦЕСІВ ІНФОРМАЦІЙНО-ТЕЛЕКОМУНІКАЦІЙНИХ СИСТЕМ
DOI:
https://doi.org/10.26906/SUNZ.2021.2.132Ключові слова:
APT атака, SIEM, кейлоггер, інформаційно-телекомунікаційна системаАнотація
У статті запропоновано методику виявлення несанкціонованих обчислювальних процесів інформаційнотелекомунікаційних систем. Існуючі технології виявлення APT атак засновані на процедурах багаторівневого аналізу великого масиву даних про різноманітні поточні події в ІТС. Ці дані збираються в електронних журналах подій. Очевидно, що модель APT атаки повинна дозволяти пов’язувати події за часом і в просторі. Комплекси програм, які наповнюють інформацією журнали і реалізують автоматизовані технології їх аналізу, відомі як системи SIEM. У свою чергу, технології автоматизованого аналізу подій засновані на моделях атак. Шаблон APT атаки – це набір взаємопов’язаних подій. Порівняння такого шаблону і поточних подій становить суть процесу оцінки в рамках SIEM. Основним завданням методики є автоматизація процесу виявлення несанкціонованих дій, прийняття рішення про наявність APT атаки, та реалізацію методів захисту від неї. Основу APT атаки становить комплекс дій, що реалізуються в різних компонентах ІТС на тривалому відрізку часу. З позицій політики безпеки такі події окремо можуть нести легальний характер. Розглянуто програмні та апаратні засоби, призначені для прихованого спостереження за діяльністю користувачів інформаційно-телекомунікаційних систем. Санкціоновані моніторингові програмні продукти використовуються адміністраторами безпеки інформаційно-телекомунікаційних систем для забезпечення моніторингу. Детально розглянуто застосування для прихованого моніторингу активних процесів інформаційно-телекомунікаційних систем. Запропоновано використати в якості прикладу несанкціонованого обчислювального процесу програмні та апаратні кейлоггери. Детально описано методи захисту від них. Отримані результати доцільно направити на удосконалення методів виявлення несанкціонованих обчислювальних процесів інформаційно-телекомунікаційних систем.Завантаження
Посилання
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу. // Департамент спеціальних телекомунікаційних системі захисту інформації Служби безпеки України. Київ, 1999/
“2001 AMA Survey: WorkplaceMonitoring & Surveillance: Summary of Key Findings” American Management Association. http://www.amanet.org/research/pdfs/ems_short2001.pdp
“Computer And Internet Surveillance in the Workplace:Rough Notes”. Andrew Schulman, Chief Researcher, Privacy Foundation, US, 2001-2002http://www.sonic.net/~undoc/survtech.htm
“The Extent of Systematic Monitoring of Employee E-mail and InternetUse” AndrewSchulman, ChiefResearcher, PrivacyFoundation, US, 2001-2002. http://www.sonic.net/~undoc/extent.htm
Н.Д. Красноступ, Д.В. Кудин. Шпионские программы и новейшие методы защиты от них. http://bozza.ru/art-75/html.
Яковів І.Б., Дорошенко Д.В. Аналіз моделей APT-атак та методів їх застосування. Безпека інформації в інформаціно-телекомунікаційних системах: матеріали ХХ МНПК, 22-24 травня 2018 р. Київ, 2018. С. 74-75.
Яковів І.Б., “Кібернетична модель АРТ атаки”, Information Technology and Security, vol. 6, iss. 1, pp. 46-58, 2018.
Дорошенко Д.В. Методика визначення та реєстрації актуальних обчислювальних процесів персонального комп’ютера на базі ОС Windows. Інформаційно-телекомунікаційні системи і технології та кібербезпека: нові виклики, нові завдання: матеріали НПК, 19-20 листопада 2019 р. : тези доповіді. Київ, 2019. С. 58-59
Яковів І.Б.. Базова модель інформаційних процесів та поведінки системи кіберзахисту. Information Technology and Security. 2019. Vol. 7, Iss. 2 (13). P. 183–196.