Телефон: 8-800-350-22-65
WhatsApp: 8-800-350-22-65
Telegram: sibac
Прием заявок круглосуточно
График работы офиса: с 9.00 до 18.00 Нск (5.00 - 14.00 Мск)

Статья опубликована в рамках: CI Международной научно-практической конференции «Экспериментальные и теоретические исследования в современной науке» (Россия, г. Новосибирск, 27 мая 2024 г.)

Наука: Информационные технологии

Скачать книгу(-и): Сборник статей конференции

Библиографическое описание:
Тригубкин А.П., Соболев А.О., Абрамкин Г.В. ПРИМЕНЕНИЕ РЕШАЮЩИХ ДЕРЕВЬЕВ ДЛЯ АВТОМАТИЗАЦИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ И ИНФРАСТРУКТУРЫ // Экспериментальные и теоретические исследования в современной науке: сб. ст. по матер. CI междунар. науч.-практ. конф. № 5(93). – Новосибирск: СибАК, 2024. – С. 95-108.
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

ПРИМЕНЕНИЕ РЕШАЮЩИХ ДЕРЕВЬЕВ ДЛЯ АВТОМАТИЗАЦИИ АУДИТА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ КОРПОРАТИВНЫХ ИНФОРМАЦИОННЫХ СЕТЕЙ И ИНФРАСТРУКТУРЫ

Тригубкин Артур Павлович

студент, МИРЭА – Российский технологический университет, Институт кибербезопасности и цифровых технологий,

РФ, г. Москва

Соболев Артем Олегович

студент, МИРЭА – Российский технологический университет, Институт кибербезопасности и цифровых технологий,

РФ, г. Москва

Абрамкин Георгий Владимирович

студент, МИРЭА – Российский технологический университет, Институт кибербезопасности и цифровых технологий,

РФ, г. Москва

APPLICATION OF DECISION TREES FOR AUTOMATION OF INFORMATION SECURITY AUDIT OF CORPORATE INFORMATION NETWORKS AND INFRASTRUCTURE

 

Artur Trigubkin

Student, MIREA - Russian Technological University,

Russia, Moscow

Artem Sobolev

Student, MIREA - Russian Technological University,

Russia, Moscow

Georgy Abramkin

Student, MIREA - Russian Technological University,

Russia, Moscow

 

АННОТАЦИЯ

В данной статье рассматривается применение решающих деревьев в качестве инструмента для автоматизации процедуры проведения аудита информационной безопасности, предлагая новый подход к обеспечению защиты корпоративных информационных ресурсов. В результате исследования предлагается вариант реализации модели процедуры автоматизации аудита корпоративной инфраструктуры.

ABSTRACT

This article discusses the use of decision trees as a tool for automating the information security audit procedure, offering a new approach to ensuring the protection of corporate information resources. As a result of the research, a variant of the implementation of the model of the audit automation procedure for corporate infrastructure is proposed.

 

Ключевые слова: информационная безопасность, аудит, решающие деревья, информационная система, автоматизация.

Keywords: information security, audit, decision trees, information system, automation.

 

ВВЕДЕНИЕ

В современном динамичном информационном ландшафте предприятий и организаций, где цифровые технологии стали неотъемлемой частью бизнес-процессов, обеспечение информационной безопасности корпоративных сетей и систем становится крайне важным элементом управления. В условиях постоянно возрастающих угроз со стороны киберпреступников и появления новых методов атак, необходимость в эффективных мерах обеспечения безопасности данных становится актуальной задачей для бизнес-сообщества.

Аудит информационной безопасности выступает ключевым инструментом в выявлении и анализе уязвимостей, а также в разработке стратегий и тактик для их устранения. Однако, с увеличением объема данных и сложности информационных систем, традиционные методы аудита сталкиваются с вызовами в обеспечении оперативной и точной оценки уровня безопасности корпоративных информационных сетей.

В данной статье мы рассмотрим инновационный подход к автоматизации процессов аудита информационной безопасности, основанный на применении решающих деревьев. Этот метод предоставляет уникальные возможности для эффективного анализа, выявления паттернов и высокоточного принятия решений в области обеспечения безопасности данных корпоративных информационных сетей и систем.

АУДИТ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Большую роль в жизни коммерческих и государственных организаций играет информационная безопасность.

Одним из методов защиты информации является предотвращение или контроль над системой, работающей с информацией. Для предотвращения ошибок и сбоев работы такой системы необходимо проводить проверки на соответствие с выделенными критериями, чем и занимается аудит информационной безопасности.

Аудит информационной безопасности — представляет собой оценку текущего состояния защищенности и безопасности информационных ресурсов и корпоративных систем организации, на соответствие международным и отечественным стандартам, как регулятора отрасли (ФСТЭК, ЦБ РФ) так и требованиям внутри организации, закрепленных в определенных политиках безопасности. Аудит может проводиться как комплексно (с изучением всей инфраструктуры), так и выборочно — в последнем случае анализируются только определённые объекты, участки, аппаратно-программные компоненты (сети передачи либо хранения данных, серверы и др.).

В настоящее время можно выделить следующие основные виды аудита информационной безопасности:

  • экспертный аудит безопасности, в процессе которого выявляются недостатки в системе мер защиты информации на основе имеющегося опыта экспертов, участвующих в процедуре обследования;
  • активный аудит, включающий механизмы для проверки правильного выполнения существующей политики безопасности, слежения в реальном масштабе времени за отклонениями и выявление вторжения;
  • оценка соответствия рекомендациям Международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК;
  • инструментальный анализ защищенности АС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
  • комплексный аудит.

Проведение аудита информационной безопасности основывается на использовании многочисленных рекомендаций, изложенных преимущественно в международных стандартах ИБ. Одним из результатов проведения аудита в последнее время все чаще становится сертификат, удостоверяющий соответствие обследуемой ИС определенному признанному международному стандарту. Наличие такого сертификата позволяет организации получать конкурентные преимущества, связанные с большим доверием со стороны клиентов и партнеров.

 

Рисунок 1. Схема проведения аудита и соответствия стандартам

 

РЕШАЮЩИЕ ДЕРЕВЬЯ

Деревья решений являются одним из наиболее эффективных инструментов интеллектуального анализа данных и предсказательной аналитики, которые позволяют решать задачи классификации и регрессии.

Дерево решений — это метод представления решающих правил в иерархической структуре, состоящей из элементов двух типов — узлов (node) и листьев (leaf). В узлах находятся решающие правила и производится проверка соответствия примеров этому правилу по какому-либо атрибуту обучающего множества.

В простейшем случае, в результате проверки, множество примеров, попавших в узел, разбивается на два подмножества, в одно из которых попадают примеры, удовлетворяющие правилу, а в другое — не удовлетворяющие.

Решающие деревья хорошо описывают процесс принятия решения во многих ситуациях. Например, когда пользователь авторизуется на сайте (Рисунок 1):

  1. Проверка роли пользователя. Если пользователь “Администратор”, то переходим на второй уровень, иначе переходим на третий уровень.
  2. У администратора включена двухфакторная аутентификация? Если да, то проверка пройдена, иначе выдаем предупреждение, что необходимо включить двухфакторную аутентификацию и завершаем проверку.
  3. У обычного пользователя включена двухфакторная аутентификация? Если да, то проверка пройдена, иначе переходим на четвертый уровень.
  4. Пользователь является внутренним сотрудником? Если да, то проверка пройдена и выдаем уведомление с рекомендацией настроить двухфакторную аутентификацию, иначе выдаем предупреждение, что необходимо включить двухфакторную аутентификацию и завершаем проверку.

 

Рисунок 2. Проверка “Разграничение доступа в ОС” методом решающего дерева

 

ПРИМЕНЕНИЕ РЕШАЮЩИХ ДЕРЕВЬЕВ ДЛЯ АВТОМАТИЗАЦИИ АУДИТА

В данном пункте рассмотрим подход к автоматизации аудита информационной безопасности с использованием решающих деревьев на примере выполнения требований стандарта PCI DSS.

 

Рисунок 3. Схема проведения аудита ИБ с использованием решающих деревьев

 

Процесс использования решающих деревьев в аудите информационной безопасности начинается с тщательного анализа и предварительной подготовки данных. Требуется определить ключевые признаки и параметры, которые будут использоваться для обучения модели.

Модель обучается на основе набора обучающих данных, что включает в себя информацию о эталонных вариантах, например, минимальная длина пароля, оптимальные параметры безопасности и логирования, наличие критических уязвимостей, конфигурации установленного ПО, наличие активных сетевых сервисов и используемых протоколов, перечень легитимного программного обеспечения, находящегося на рабочих станциях пользователей информационной системы.

Далее рассмотрим автоматизацию аудита с использованием решающих деревьев на примере стандарта PCI DSS.

PCI DSS (Payment Card Industry Data Security Standard) — это международный стандарт безопасности данных платежных карт, который разработан с целью обеспечения безопасности информации о картах и транзакциях в системах, обрабатывающих платежные карты.

Стандарт PCI DSS применим для всех организаций, задействованных в процессе обработки платежных карт (которые хранят, передают или обрабатывают данные платежных карт), и разработан для повышения уровня безопасности данных о держателях платежных карт. В стандарте отражаются базовые технические и операционные требования, способствующие достижению этой цели. Там же определены проверочные процедуры для перечисленных требований.

Таблица 1.

Требования и механизмы проверки стандарта PCI DSS

Раздел PCI DSS

Требования PCI DSS

Методики проверки

Создание и поддержка защищенной сети и систем

Требование 1

Установить и поддерживать конфигурацию межсетевых экранов для защиты данных

 

а) Выявление несоответствия параметров конфигурации МСЭ и маршрутизаторов техническим требованиям

б) Выявление несанкционированных изменений параметров конфигурации МСЭ и маршрутизаторов

в) Обнаружение активных сетевых узлов, сервисов, открытых портов

г) Обнаружение изменений сетевой инфраструктуры

д) Выявление уязвимых сетевых компонентов

е) Выявление возможности проведения атак в отношении узлов, обеспечивающих хранение ДДК

ж) Выявление возможности утечки данных о сетевой инфраструктуре

е) Выявление несоответствия параметров конфигурации персональных межсетевых экранов установленным техническим требованиям

Требование 2

Не использовать пароли и другие системные параметры безопасности, заданные производителем по умолчанию

а) Обнаружение небезопасных протоколов удаленного управления

б) Выявление фактов использования слабых алгоритмов шифрования

в) Обнаружение возможности передачи критически важной информации в открытой форме

г) Проведение инвентаризации ПО и технических средств

д) Выявление активных сетевых сервисов, используемых протоколов, не предусмотренных техническими требованиями

е) Выявление уязвимых активных сетевых сервисов (в том числе — веб-сервисов) и используемых протоколов

ж) Выявление несоответствия параметров конфигурации сетевых сервисов, управляющих программ и протоколов техническим требованиям

Защита данных Держателей карт

 

Требование 3

Защищать хранимые данные держателей карт

Требование 4

Шифровать данные держателей карт при их передаче в открытых общедоступных сетях

а) Обнаружение возможности передачи ДДК в открытой форме

б) Выявление использования небезопасных конфигураций криптографических протоколов

г) Выявление возможности использования слабых алгоритмов шифрования в отношении ДДК

д) Выявление параметров, не предусматривающих использование TLS при каждом обмене ДДК

е) Проверка конфигурации сетевых устройств, межсетевых экранов

Ведение программы по управлению уязвимостями

 

Требование 5

Защищать все системы от вредоносного ПО и регулярно обновлять антивирусное ПО или программы

а) Проверка наличия на сетевых узлах установленного антивирусного ПО

б) Выявление неактуальных антивирусных баз, антивирусного ПО

в) Выявление несоответствия параметров конфигурации антивирусного ПО техническим требованиям

Требование 6

Разрабатывать и поддерживать безопасные системы и приложения

а) Выявление уязвимостей с использованием сведений из внешних БД авторитетных источников информации

б) Контроль установки критически важных обновлений безопасности ПО

в) Выявление фактов несвоевременной установки критически важных обновлений безопасности ПО

Внедрение строгих мер контроля доступа

 

Требование 7

Ограничить доступ к данным держателей карт в соответствии со служебной необходимостью

а) Контроль состава локальных и доменных групп (подгрупп), программного обеспечения

б) Контроль парольной политики ОС, сетевых устройств, СУБД и ERP-систем

в) Контроль параметров механизмов разграничения доступа в базах данных и ОС, включая данные по учетным записям пользователей, ролям

Требование 8

Определять и подтверждать доступ к системным компонентам

а) Выявление несоответствия параметров конфигурации механизмов аутентификации техническим требованиям

б) Выявление параметров конфигурации, нарушающих процедуру предоставления доступа к базам данных и приложениям

в) Выявление несоответствия параметров конфигурации механизмов регистрации событий техническим требованиям

г) проверка наличия истекших и неиспользуемых учетных записей

д) проверка сложности и времени смены пароля

е) выявление использования небезопасных протоколов аутентификации

Требование 9

Ограничить физический доступ к данным держателей карт

Нет возможности автоматизировать проверку политики

Регулярный мониторинг и тестирование сети

Требование 10

Контролировать и отслеживать любой доступ к сетевым ресурсам и данным держателей карт

Выявление несоответствия параметров конфигурации механизмов регистрации событий техническим требованиям, проверка настройки протоколирования и аудита для ОС, сетевого оборудования и приложений

Требование 11

Регулярно выполнять тестирование систем и процессов обеспечения безопасности

а) Выявление несанкционированно установленных точек беспроводного доступа

б) Выявление нарушения сроков (периодичности) сканирования сетевой инфраструктуры

в) Контроль устранения выявленных недостатков в сетевой инфраструктуре

г) Контроль устранения выявленных уязвимостей, исходя из их уровня опасности

д) Обеспечение возможности проведения тестов на проникновение сетевой инфраструктуры, в том числе в автоматическом режиме, на регулярной основе

Поддержание политики информационной безопасности

Требование 12

Разработать и поддерживать политику обеспечения информационной безопасности для всех сотрудников организации

а) Проверка механизмов инвентаризации

б) Проверка внутренней политики безопасности

 

Рассмотрим подробнее механизм проверки требования соответствия парольной политике учетных записей сотрудников и администраторов в корпоративной информационной системе.

Процесс автоматизированной проверки, основанной на решающих деревьях, предполагает несколько ключевых шагов. Ниже подробно рассмотрены основные этапы:

  1. Сбор данных

Необходимо собрать данные о текущей парольной политике в организации и паролях и учетных записях по умолчанию во всех средствах защиты. Эти данные могут включать в себя минимальную длину пароля, использование различных типов символов, срок действия паролей и другие параметры политики безопасности

  1. Подготовка данных

Данные, используемые для обучения модели, подвергаются предварительной обработке. Этот этап включает в себя очистку данных от выбросов, обработку отсутствующих значений, агрегацию информации и масштабирование признаков. Данные могут быть представлены в виде таблицы, где строки представляют пользователей, а столбцы содержат параметры парольной политики и их значения для каждого пользователя.

  1. Обучение решающего дерева

Используем обучающий набор данных, который содержит примеры пользователей, соответствующих и несоответствующих требованиям парольной политики.

Обучаем решающее дерево на этих данных для того, чтобы модель могла научиться прогнозировать соответствие парольной политики.

  1. Тестирование модели

Используем тестовый набор данных, который модель не видела в процессе обучения, для оценки производительности решающего дерева.

  1. Автоматизированная оценка соответствия

Применяем обученное решающее дерево к текущим данным по парольной политике для автоматизированной оценки соответствия.

Модель может предсказать, соответствует ли парольная политика требованиям для каждого пользователя.

  1. Генерация отчетов и рекомендации по устранению недостатков

Модель может создавать отчеты, содержащие информацию о пользователях, которые соответствуют требованиям, и тех, которые не соответствуют. Отчеты могут быть использованы администраторами для принятия мер по улучшению безопасности.

Программный код для обучения решающего дерева механизма проверки требования соответствия парольной политике может быть реализован использованием библиотек машинного обучения, таких как scikit-learn на Python и представлен на рисунке 4.

 

Рисунок 4. Пример реализации проверки на языке программирования Python

 

ЗАКЛЮЧЕНИЕ

В заключении подведем основные результаты и выводы, полученных в ходе исследования системы автоматизированного аудита информационной безопасности, использующей решающие деревья. Описали, что такое аудит и деревья принятия решений. Продемонстрировали наглядно исполнение потенциального дерева принятий решений. Составили блок-схему принятия решающих деревьев в аудите информационной безопасности корпоративных информационных систем и инфраструктуры и сделали таблицу требований стандарта PSI DSS и механизмов проверки. В перспективе дальнейших исследований данная тема включает в себя углубленный анализ конкретных аспектов работы системы, расширение области применения, улучшение алгоритмов обучения модели или интеграцию с другими методами безопасности.

 

Список литературы:

  1. Клочкова, Т. В. Роль аудита информационных технологий в информационной безопасности [Электронный ресурс] — URL: https://cyberleninka.ru/article/n/rol-audita-informatsionnyh-tehnologiy-v-informatsionnoy-bezopasnosti/viewer (дата обращения: 23.01.2024).
  2. Кравчук, Д. И. Аудит безопасности корпоративных информационных систем [Электронный ресурс] — URL: https://moluch.ru/archive/90/19022/ (дата обращения: 23.01.2024).
  3. Палагин, Д.А.  Управление защитой информации в корпоративных информационных системах на основе интеллектуальных технологий [Электронный ресурс] — URL: https://dspace.tltsu.ru/bitstream/123456789/12895/1/Палагин%20Д.А._%20ПИмд-1702а.pdf (дата обращения: 23.01.2024).
  4. Соколов Е. А. Лекция 3. Решающие деревья. ФКН ВШЭ / 26 января 2018 г. (дата обращения: 27.01.2024).
  5. Московский экономический журнал No2. 2019. Понятие и сущность аудита безопасности информационных систем [Электронный ресурс] — URL: https://cyberleninka.ru/article/n/ponyatie-i-suschnost-audita-bezopasnosti-informatsionnyh-sistem/viewer (дата обращения: 27.01.2024).
  6. Деревья решений: общие принципы [Электронный ресурс] — URL: https://loginom.ru/blog/decision-tree-p1?roistat_visit=1776809 (дата обращения: 27.01.2024).
  7. Автоматизация аудита информационной системы предприятия энергетической инфраструктуры [Электронный ресурс] — URL: https://cyberleninka.ru/article/n/avtomatizatsiya-protsedury-provedeniya-audita-informatsionnoy-bezopasnosti-na-osnove-profilya-zaschity (дата обращения: 27.01.2024).
Удалить статью(вывести сообщение вместо статьи): 
Проголосовать за статью
Дипломы участников
У данной статьи нет
дипломов

Оставить комментарий

Форма обратной связи о взаимодействии с сайтом
CAPTCHA
Этот вопрос задается для того, чтобы выяснить, являетесь ли Вы человеком или представляете из себя автоматическую спам-рассылку.