МЕТОД РАЗРАБОТКИ БАЗЫ ЗНАНИЙ СЦЕНАРИЕВ УГРОЗ ДЛЯ СИСТЕМЫ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ (IRP)

Аннотация

Цель работы – исследование возможности повышения эффективности реагирования на ин- циденты информационной безопасности (ИБ). Это может быть достигнуто путем разработки системы, способной быстро локализовать инцидент, обеспечивающей автоматизацию реагиро- вания на угрозу ИБ, предпринимающей заранее заданные действия в зависимости от деталей реа- лизуемого сценария угрозы. Предложена архитектура построения IRP-системы, основными моду- лями которой являются база знаний сценариев реагирования, база знаний сценариев угроз, модули определения статуса инцидента и принятия решений по формированию командной информации. Решена задача разработки сценариев угроз для создания базы знаний сценариев, на основе кото- рой могут быть разработаны адекватные сценарии реагирования, уникальные для каждой цепоч- ки последовательности действий киберпреступника, событий и задействованных объектов. Фор- мализован метод разработки базы знаний сценариев угроз на основе построения EPC-диаграмм сценариев, отображающих многокомпонентные атаки с учетом тактик, техник, используемых уязвимостей, угроз безопасности информации (УБИ), приведенных в нормативных документах и базах данных. Сформулированы правила построения EPC-диаграмм сценариев угроз и методика EPC-моделирования для объектов воздействия в АСУ ТП. Рассмотрен пример сценария атаки на промышленную сеть из глобальной сети в случае, когда киберпреступник, атаковав компьютер удаленного пользователя, в первую очередь осуществляет несанкционированный доступ в корпо- ративный сегмент, закрепляется в нем для дальнейшего проникновения за периметр технологиче- ской сети. Приведена разработанная EPC-диаграмма сценария угрозы с указанием используемых тактик, техник, промежуточных УБИ, некоторых уязвимостей. Формализована оценка вероят- ности реализации сценария