Mavzu : Tahdidlarni aniqlash tizimlarini o’rganish va tahlil qilishda

Download 0,75 Mb.

bet	1/2
Sana	11.01.2022
Hajmi	0,75 Mb.
	#348843

1 2

Bog'liq
threat 1 2

Foydalanilgan adabiyotar

1-amaliy ish
Mavzu : Tahdidlarni aniqlash tizimlarini o’rganish va tahlil qilishda
Kiberxavfsizlik bugungi raqamli iqtisodiyotning muvaffaqiyati uchun juda muhimdir. Xavfsizlikka asosiy tahdidlar tashqi kuchlardan farqli ravishda ichkaridan keladi. Insayder tahdidlarni aniqlash va bashorat qilish muhim yumshatish usullari hisoblanadi. Ushbu tadqiqot quyidagi tadqiqot savollariga javob beradi: 1) hozirgi vaqtda insayder tahdidlarni aniqlash va bashorat qilish bo'yicha tadqiqot tendentsiyalari qanday? 2) Insayder tahdidlarni aniqlash va bashorat qilish bilan bog'liq qanday qiyinchiliklar mavjud? 3) Insayder tahdidlarni aniqlash va bashorat qilishning eng zamonaviy algoritmlari qanday? Biz birinchi ikkita savolni hal qilish uchun 1950–2015 yillar oralig'ida ko'rib chiqilgan jurnallarda, konferentsiya materiallarida va tahrirlangan kitoblarda chop etilgan 37 ta maqolani tizimli ko'rib chiqamiz. Bizning so'rovimiz shuni ko'rsatadiki, o'yin nazariyasi yondashuvi (GTA) ichki tahdid ma'lumotlarining mashhur manbaidir; insayderlarning onlayn faoliyati insayder tahdidlarni aniqlash va bashorat qilishda eng ko‘p qo‘llaniladigan xususiyatlardir; qog'ozlarning ko'pchiligi tahdid ehtimolining bir nuqtali taxminlaridan foydalanadi; va grafik algoritmlari insayder tahdidlarni aniqlash va bashorat qilish uchun eng ko'p qo'llaniladigan vositalardir. Insayder tahdidlarni aniqlash va bashorat qilish tizimi oldida turgan asosiy muammolar qatoriga cheksiz naqshlar, faoliyatlar orasidagi notekis vaqt kechikishi, maʼlumotlarning statsionar boʻlmaganligi, individuallik, til biriktirish hujumlari, yuqori notoʻgʻri signal tezligi, sinfdagi nomutanosiblik muammosi, aniqlanmagan insayder hujumlari, noaniqlik va koʻp sonli bepullar kiradi. modeldagi parametrlar. Insayder tahdidlarni aniqlash va bashorat qilishning eng zamonaviy algoritmlarini aniqlash uchun bizning meta-tahlil tadqiqotimiz tanlangan 37 ta maqoladan kontseptual algoritmlarni taklif qiluvchi nazariy maqolalarni chiqarib tashlaydi, natijada 13 ta maqola tanlab olinadi. Tanlangan 13 ta maqolada taqdim etilgan insayder tahdidlarni aniqlash va bashorat qilish algoritmlarini nazariy afzalliklarga va axborotning shaffofligiga qarab tartiblaymiz. Darajali yig'indilarning ahamiyatini aniqlash uchun biz "Fridmanning darajalar bo'yicha dispersiyaning ikki tomonlama tahlili" testi va "guruhlar yoki shartlar o'rtasida bir nechta taqqoslashlar" testlarini o'tkazamiz.

Fon
Biz raqamli asrda yashayapmiz va hamma narsa kabi, bu yangi haqiqatning ham ijobiy va salbiy tomonlari bor. Uning asosiy kamchiliklari xavfsizlik xavfi hisoblanadi. Bizning ko'proq nozik ma'lumotlarimiz raqamli dunyoga o'tayotgani sababli, maxfiylik buzilishi yanada keng tarqalgan va ahamiyatli bo'lib bormoqda. "OIV bilan kasallangan bemor tafsilotlar sizib chiqqandan keyin oshkor etilishidan qo'rqishini aytadi" [1], "Barclays banki minglab mijozlar yozuvlarini sizdiradi" [2], "Pepsi Coca-Cola'ni o'g'irlangan koks sirlari taklifi haqida ogohlantirdi" [3], "PlayStation Network foydalanuvchilar katta ma'lumotlar sizib chiqqanidan keyin shaxsiy ma'lumotlar o'g'irlanishidan qo'rqishadi" [4] -bunday yangiliklar sarlavhalari juda tanish. Maxfiylik buzilishining aksariyati kompaniya ichida sodir bo'ladi [5].

Ma'lumotlar yaxlitligi yana bir muhim xavfsizlik masalasidir. Ma'lumotlar yaxlitligiga zarar yetkazish ko'pincha maxfiylikni buzishdan ko'ra jiddiyroq muammolarni keltirib chiqarishi mumkin. Masalan, agar tajovuzkor qon guruhi va dori allergiyasi kabi tibbiy ma'lumotlarimizni o'zgartirsa va manipulyatsiya qilsa, hayotimiz muvozanatda bo'lishi mumkin. Ma'lumotlarning yaxlitligiga eng zararli hujumlar SCADA tizimiga noto'g'ri ma'lumotlarni ataylab kiritish orqali mamlakatning muhim infratuzilma tizimlarida (masalan, suv ta'minoti yoki elektr tizimi) amalga oshiriladi. Shuning uchun real vaqt rejimida hujumni aniqlash va bashorat qilish AT xavfsizligi uchun asosiy mavzudir. Bular birinchi himoya qatlami. Hujumni aniqlash, hujum mavjudligini imkon qadar erta aniqlash imkoniyatini anglatadi. Bashorat qilish joriy ma'lumotlardan kelajakdagi hujumlar ehtimolini aniqlashni anglatadi.
Xavfsizlik tahdidlari tashkilot ichidan yoki tashqarisidan kelib chiqishi mumkin. Insayderlarning hujumlari, xoh ular xodimlar, etkazib beruvchilar yoki kompaniyaning kompyuter tizimiga qonuniy ravishda ulangan boshqa kompaniyalardan bo'lsin, tashqi hujumlardan ko'ra ko'proq zararli xavf tug'diradi. Ushbu insayderlar tashkilotning ichki ishi haqida ma'lumotga ega va hujumni amalga oshirish uchun zarur bo'lgan barcha huquq va imtiyozlarga to'liq ega bo'lib, begonalarga etishmaydi. Binobarin, insayderlar o'z hujumlarini oddiy operatsiyalarga o'xshatishlari mumkin.
Kompaniyalar kelgusi yillarda insayder hujumlarga qarshi ko'proq mablag' sarflash niyatida [6]. Biroq, agar kerak bo'lganda va qaerda bo'lmasa, ichki hujumlardan himoyalanish uchun qilingan barcha harakatlar behuda ketishi mumkin. Bu erda muammo juda ko'p noto'g'ri signallarni yaratmaydigan tahdidlarni aniqlashning avtomatlashtirilgan tizimlarini ishlab chiqishdir. Noto'g'ri xavfsizlik signali qisqa muddatli yoki uzoq vaqt davomida mavjudlik yo'qolishiga olib kelishi mumkin; mavjudligining yo'qolishi xodimlarning tizimga kirish imkoniga ega bo'lmasligi va har bir daqiqa muhim bo'lgan favqulodda vaziyatlarda o'z ishlarini samarali bajara olmasligiga olib kelishi mumkin. Tizim mavjudligini yo'qotish kompaniyani falaj qilishi mumkin. Bu ko'proq xarajatlar, yo'qotilgan daromad va obro'ga putur etkazishi mumkin.
Mavjudlik, maxfiylik va yaxlitlik tizimlar va axborotlarni himoya qilishning asosiy jihatlari hisoblanadi. Ushbu elementlardan birini yo'qotish xavfsizlikni buzish hisoblanadi. Ushbu qarama-qarshi talablarni optimallashtirish uchun biz insayder tahdidlarni aniqlash va bashorat qilish algosini ishlab chiqishimiz kerak

Tadqiqotlarning faqat kichik bir qismi haqiqiy dunyo ma'lumotlaridan foydalanadi - bizning so'rovimizda 16 ta tadqiqotdan 4 tasi (3-rasm). Haqiqiy ma'lumotlarning asosiy manbalari bu onlayn tizimlarning jurnal fayllari va ijtimoiy media veb-saytlari. Tadqiqot maqsadlari uchun xavfsizlik ma'lumotlarini olish moliyaviy, biznes va milliy xavfsizlik bilan bog'liq muammolar tufayli qiyin, hatto imkonsiz bo'lsa ham. Bundan tashqari, agar kimdir haqiqiy ma'lumotga ega bo'lsa ham, insayder hujumlarni amalga oshirganlar haqidagi ma'lumotlar maxfiylik sababli ochiq emas [43]. Ko'pincha, ichki hujumlar hatto ushlanmaydi, chunki tajovuzkor hech qanday iz qoldirmaydi. Shunday qilib, real dunyo ma'lumotlari bilan tadqiqot qilish qiyin. Masalan, Kandias va boshqalar. [40] huquqni muhofaza qilish organlariga nisbatan har qanday salbiy izohlarni izlash uchun YouTube videolaridagi foydalanuvchi izohlarining kontent tahlilini oʻtkazdi. Nazariy jihatdan, xodimlar tomonidan e'lon qilingan bu salbiy sharhlar, ehtimol, ularning zararli harakatlar qilish niyatini aks ettiradi. Biroq, shaxsning biron bir zararli faoliyatda ishtirok etganligi haqida hech qanday asos yo'q.

Tahdidlarni aniqlash va yumshatish haqida gap ketganda
, tezlik hal qiluvchi ahamiyatga ega. Xavfsizlik dasturlari tahdidlarni tez va samarali aniqlay olishi kerak, shuning uchun tajovuzkorlarda nozik ma'lumotlarga kirish uchun etarli vaqt bo'lmaydi. Biznesning mudofaa dasturlari ko'pchilik tahdidlarni to'xtatib qo'yishi mumkin, chunki ular ko'pincha ilgari ko'rilgan, ya'ni ular ularga qarshi qanday kurashishni bilishlari kerak. Bu tahdidlar "ma'lum" tahdidlar hisoblanadi. Biroq, tashkilot aniqlashni maqsad qilgan qo'shimcha "noma'lum" tahdidlar mavjud. Bu shuni anglatadiki, tashkilot avval ularga duch kelmagan, ehtimol tajovuzkor yangi usullar yoki texnologiyalardan foydalanayotgani uchun.
Ma'lum bo'lgan tahdidlar ba'zan eng yaxshi mudofaa choralarini ham o'tkazib yuborishi mumkin, shuning uchun ko'pchilik xavfsizlik tashkilotlari o'z muhitida ma'lum va noma'lum tahdidlarni faol ravishda izlaydilar. Xo'sh, qanday qilib tashkilot ma'lum va noma'lum tahdidlarni aniqlashga harakat qilishi mumkin?
Himoyachining arsenalida yordam beradigan bir nechta usullar mavjud:

Tahdid razvedkasidan foydalanish

Tahdid razvedkasi - bu ilgari ko'rilgan hujumlarning imzo ma'lumotlarini ko'rib chiqish va tahdidlarni aniqlash uchun ularni korxona ma'lumotlari bilan solishtirish usuli. Bu uni ma'lum tahdidlarni aniqlashda ayniqsa samarali qiladi, lekin noma'lum emas. Xavfsizlik ma'lumotlari va hodisalarni boshqarishda katta ta'sir ko'rsatish uchun tahdid razvedkasi tez-tez ishlatiladi
(SIEM), antivirus, Intrusion Detection System (IDS) va veb-proksi texnologiyalari.

Foydalanuvchi va tajovuzkor xatti-harakatlari tahlilini tahlil qilish

Foydalanuvchi xatti-harakatlari tahlili bilan
, tashkilot xodimning normal xatti-harakati qanday bo'lishi haqida boshlang'ich tushunchaga ega bo'lishi mumkin: ular qanday ma'lumotlarga kirishlari, ular qaysi vaqtlarda tizimga kirishlari va jismoniy jihatdan qaerda joylashganligi. Shunday qilib, xatti-harakatlarning to'satdan o'zgarishi (masalan, Nyu-Yorkda soat 9 dan 5 gacha ishlaydigan va biznes uchun sayohat qilmaydigan odamning Shanxayda soat 2:00 da tizimga kirishi kabi) g'ayrioddiy xatti-harakatlar sifatida ajralib turadi va xavfsizlik bo'yicha tahlilchiga kerak bo'lishi mumkin bo'lgan narsa. tekshirish.
Buzg'unchi xatti-harakatlari tahlili bilan ma'lumotni solishtirish uchun faoliyatning "asosiy chizig'i" yo'q; Buning o'rniga, vaqt o'tishi bilan tarmoqda aniqlangan, bir-biriga bog'liq bo'lmagan kichik harakatlar aslida tajovuzkor ortda qoldiradigan faoliyat parchalari bo'lishi mumkin. Bu qismlarni birlashtirish uchun ham texnologiya, ham inson aqli kerak, biroq ular tashkilot tarmog‘ida tajovuzkor nimalar qilayotgani haqida tasavvur hosil qilishda yordam beradi.

Buzg'unchilar tuzoqlarini o'rnatish

Ba'zi nishonlar hujumchining o'tib ketishi uchun juda jozibali. Xavfsizlik guruhlari buni bilishadi, shuning uchun ular tajovuzkor o'lja oladi degan umidda tuzoq qo'yishadi. Tashkilot tarmog'i kontekstida buzg'unchilar tuzog'i tarmoq xizmatlariga o'xshab ko'rinishi mumkin bo'lgan honeypot nishonini (ayniqsa tajovuzkorni jalb qiladigan) yoki tajovuzkorga kirish uchun kerak bo'ladigan foydalanuvchi imtiyozlariga ega bo'lgan "asal hisob ma'lumotlarini" o'z ichiga olishi mumkin. nozik tizimlar yoki ma'lumotlarga. Hujumchi bu o'lja ortidan ketsa, u t

Tashkilot tarmog'ida tahdid paydo bo'lishini kutish o'rniga, tahdid ovlash xavfsizlik tahlilchilariga hali aniqlanmagan tahdidlar yoki tajovuzkorlarni qidirish uchun o'z tarmoqlariga, so'nggi nuqtalariga va xavfsizlik texnologiyalariga faol kirish imkonini beradi. Bu, odatda, xavfsizlik va tahdidlar bo'yicha faxriy tahlilchilar tomonidan bajariladigan ilg'or texnikadir.

Ideal holda, yaxshi ishlab chiqilgan xavfsizlik tahdidini aniqlash dasturi tashkilot xodimlari, ma'lumotlari va muhim aktivlarining xavfsizligini nazorat qilish uchun yuqoridagi barcha taktikalarni o'z ichiga olishi kerak.

Tahdidni aniqlash ikki tomonlama yondashuvni talab qiladi

Tahdidni aniqlash ham inson elementini, ham texnik elementni talab qiladi. Inson elementi o'z ichiga oladi
Ma'lumotlar, xatti-harakatlar va hisobotlardagi tendentsiyalarni, naqshlarni tahlil qiladigan xavfsizlik bo'yicha tahlilchilar, shuningdek, anomal ma'lumotlar potentsial tahdid yoki noto'g'ri signalni ko'rsatishini aniqlay oladiganlar.
Xulosa

Xavfsizlik tahdidlari tashkilot ichidan yoki tashqarisidan kelib chiqishi mumkin. Insayderlarning hujumlari, xoh ular xodimlar, etkazib beruvchilar yoki kompaniyaning kompyuter tizimiga qonuniy ravishda ulangan boshqa kompaniyalardan bo'lsin, tashqi hujumlardan ko'ra ko'proq zararli xavf tug'diradi. Ushbu insayderlar tashkilotning ichki ishi haqida ma'lumotga ega va hujumni amalga oshirish uchun zarur bo'lgan barcha huquq va imtiyozlarga to'liq ega bo'lib, begonalarga etishmaydi.

Foydalanilgan adabiyotar
1. https://www.wikipedia.org

2.Threat intelligence handbook

3. internetdagi maqolalar.

2-amaliy ish

Download 0,75 Mb.

Do'stlaringiz bilan baham:

1 2