RU2800739C1 - Система и способ определения уровня опасности событий информационной безопасности - Google Patents

Abstract

Изобретение относится к вычислительной технике. Технический результат заключается в повышении уровня обнаружения опасных событий информационной безопасности в компьютерной сети. Реализуемый на компьютере способ определения уровня опасности событий информационной безопасности (далее - событий), согласно которому: получают данные о событиях, произошедших по меньшей мере на одном компьютере; на основании полученных данных о событиях выставляют оценки каждому событию; определяют уровень опасности события, в зависимости от выставленных оценок. 2 н. и 10 з.п. ф-лы, 11 ил.

Description

Область техники

Изобретение относится к области информационной безопасности, а более конкретно к системам и способам определения уровня опасности событий информационной безопасности.

Уровень техники

Многие предприятия используют то или иное решение для сетевой безопасности с целью предотвращения и/или борьбы с различными угрозами. Самостоятельная разработка такого решения зачастую невыгодна из-за высокой стоимости разработки. Вследствие этого предприятия стали обращаться к внешним службам безопасности, которые предоставляют специализированные сетевые и компьютерные услуги (например, компании-поставщики управляемых услуг безопасности, англ. Managed Security Service Provider — MSSP) и/или инструменты для обеспечения информационной безопасности (такие как системы управления событиями информационной безопасности, англ. Security information and event management — SIEM).

Указанные инструменты выполняют автоматическую обработку как единичных событий, отправленных сразу после их обнаружения, так и списка событий, сформированного за определенный промежуток времени или при обнаружении определенного количества событий. Также некоторые инструменты протоколируют часть событий, а другие инструменты показывают предупреждения для привлечения внимания офицера безопасности (англ. information security officer) к наиболее важным событиям, которые подвергают опасности наиболее важные компоненты компьютерной сети. К событиям могут относиться как попытка компрометации хотя бы одного компьютера в сети, так и информация о работоспособности сети. Можно отслеживать множество различных событий, включая, например, выявление различного вредоносного программного обеспечения (например, сетевых червей, троянов, эксплойтов и т.п.), попытки изменить права доступа, попытки создать сетевые соединения, соответствующие определенному шаблону, и т. д.

Таким образом, благодаря подобным системам существенно возрастает безопасность предприятий. Но из-за большого количества так называемого “шума” (событий, которые представляют незначительную угрозу компьютерной системе или не представляют ее вовсе) офицер безопасности может не заметить опасные события, ставящие под угрозу компрометации всю компьютерную сеть. Поэтому существует техническая проблема, заключающаяся в низком уровне обнаружения опасных событий в компьютерной сети с использованием существующих решений, а также большом количестве событий, связанных с информационной безопасностью, которые требуют внимания со стороны офицеров безопасности, что приводит к большой нагрузке на персонал.

Один из подходов для повышения уровня обнаружения наиболее опасных событий описан в патентной заявке US2017085588A1, в которой метод ранжирования событий информационной безопасности осуществляется с помощью модели нечеткой логики, входными данными которой являются параметры событий. Другой подход раскрыт в патенте US11003766B2. В нем описан способ ранжирования событий антивирусной защиты, основанный на классификаторе, сконфигурированном для присвоения оценки достоверности оповещения, которое представляет угрозу для одной или нескольких операций контролируемой системы.

Однако описанные подходы не решают указанную техническую проблему в полной мере, так как в них не учитывается множество различных оценок, выставленных на основании данных о событии и указывающих на попытку компрометации системы или её уязвимости. Из-за этого, злоумышленник, зная каким образом оцениваются события в конкретной системе безопасности, сможет замаскировать свою атаку таким образом, чтобы классификатор принял событие информационной безопасности за незначительное.

Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением.

Раскрытие сущности изобретения

Настоящее изобретение предназначено для определения уровня опасности событий информационной безопасности. Техническая задача заключается в создании способа определения уровня опасности событий информационной безопасности, необходимого для выявления и быстрого реагирования на наиболее опасные события.

Технический результат настоящего изобретения заключается в расширении арсенала технических средств, предназначенных для повышения уровня обнаружения опасных событий информационной безопасности в компьютерной сети.

В качестве одного варианта исполнения настоящего изобретения предлагается способ определения уровня опасности событий информационной безопасности (далее — событий), согласно которому получают данные о событиях, произошедших по меньшей мере на одном компьютере, причем данные о событиях включают: информацию о компоненте защиты, обнаружившем событие; информацию о технологии защиты, обнаружившей событие; время обнаружения события; на основании полученных данных о событиях выставляют, в частности, следующие оценки каждому событию: оценку компьютеру, на котором произошло событие; оценку опасности события; оценку на основе времени обнаружения события; оценку на основе технологии защиты, обнаружившей событие; оценку на основе компонента защиты, обнаружившего событие; оценку на основе правил фильтрации, хранящихся в базе правил фильтрации и оценки; определяют уровень опасности события, в зависимости от вышеперечисленных оценок.

В другом варианте исполнения способа получают данные о событиях, произошедших на по меньшей мере одном компьютере, объединенных в сеть, причем дополнительно выставляют по меньшей мере одну из оценок: оценку группы компьютеров, к которой принадлежит компьютер, на котором произошло или обнаружено событие; оценку на основе прав доступа пользователя компьютера, на котором произошло или обнаружено событие; оценку группы домена; оценки организационного подразделения домена; оценку на основе наличия на компьютере, на котором произошло или обнаружено событие, доступа в интернет; оценку, вычисленную с помощью модели анализа, основанной на нечеткой логике оценку компьютера, на котором обнаружено событие, если событие произошло на другом компьютере, на котором оно не было обнаружено.

В еще одном варианте исполнения способа при определении уровня опасности как высокого уровня опасности оповещают пользователя.

В другом варианте исполнения способа дополнительно выставляют оценку, вычисленную на основе модели машинного обучения, обученной на полученных от офицера безопасности оценок.

В еще одном варианте исполнения способа дополнительно выставляют оценку, основанную на действиях офицера безопасности.

В другом варианте исполнения способа модель машинного обучения реализована на основании метода нейронных сетей.

В качестве другого варианта исполнения настоящего изобретения предлагается система определения уровня опасности событий информационной безопасности содержащая: модуль сбора данных, предназначенный для получения данных о событиях, произошедших по меньшей мере на одном компьютере, причем данные о событиях включают: информацию о компоненте защиты, обнаружившем событие; информацию о технологии защиты, обнаружившей событие; время обнаружения события; анализатор, предназначенный для выставления, в частности, следующие оценки: оценку компьютера, на котором произошло или обнаружено событие; оценку опасности события; оценку на основе времени обнаружения события; оценку на основе технологии защиты, обнаружившей событие; оценку на основе компонента защиты, обнаружившего событие; оценку на основе правил фильтрации, хранящихся в базе правил фильтрации; кроме того, анализатор предназначен для определения уровней опасности событий, в зависимости от, как минимум, совокупности всех вышеперечисленных оценок.

В другом варианте исполнения, система дополнительно выставляет по меньшей мере одну из оценок: оценку группы компьютеров, к которой принадлежит компьютер, на котором произошло или обнаружено событие; оценку на основе прав доступа пользователя компьютера, на котором произошло или обнаружено событие; оценку группы домена; оценку организационного подразделения домена; оценку на основе наличия на компьютере, на котором произошло или обнаружено событие, доступа в интернет; оценку, вычисленную с помощью модели анализа, основанной на нечеткой логике; оценку компьютера, на котором обнаружено событие, если событие произошло на другом компьютере, на котором оно не было обнаружено.

В еще одном варианте исполнения система при определении уровня опасности как высокого уровня опасности оповещает пользователя.

В другом варианте исполнения система дополнительно выставляет оценку, вычисленную на основе модели машинного обучения, обученной на полученных от офицера безопасности оценок.

В еще одном варианте исполнения система дополнительно выставляет оценку, основанную на действиях офицера безопасности.

В другом варианте исполнения модель машинного обучения реализована на основании метода нейронных сетей.

Приведенное выше упрощенное резюме примеров аспектов служит для обеспечения базового понимания настоящего раскрытия. Настоящее резюме не является обширным обзором всех предполагаемых аспектов и не предназначено ни для идентификации ключевых или критических элементов всех аспектов, ни для определения объема любого или всех аспектов настоящего раскрытия. Его единственная цель состоит в том, чтобы представить один или несколько аспектов в упрощенной форме в качестве прелюдии к более подробному описанию раскрытия, которое следует ниже. Для достижения вышеизложенного один или несколько аспектов настоящего раскрытия включают описанные и примерные признаки, указанные в формуле изобретения.

Краткое описание чертежей

Прилагаемые чертежи иллюстрируют только примерные варианты осуществления и поэтому не должны считаться ограничивающими его объем, могут допускать другие, не менее эффективные, варианты осуществления. Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:

Фиг. 1 иллюстрирует пример взаимодействия компьютеров в сеть, сервера и пользователя.

Фиг. 2 демонстрирует пример анализатора, предназначенного для анализа и определения уровня опасности событий.

Фиг. 3 показывает пример основных источников вычисления уровня опасности событий.

Фиг. 4 иллюстрирует пример формирования оценки компьютера на основе связанных с ним групп.

Фиг. 5 демонстрирует пример формирования оценки, основанной на времени обнаружения события.

Фиг. 6 иллюстрирует пример формирования оценки компьютера, зависящей от наличия доступа в интернет и прав локального администратора на данном компьютере.

Фиг. 7 показывает пример формирования оценки в зависимости от компонента защиты.

Фиг. 8 иллюстрирует пример формирования оценки в зависимости от технологии защиты.

Фиг. 9 отображает пример отчета о произошедших событиях.

Фиг. 10 иллюстрирует пример базы правил фильтрации и оценки.

Фиг. 11 показывает пример компьютерной системы общего назначения.

Осуществление изобретения

Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.

Глоссарий

Ниже определены ряд терминов, которые будут использоваться при описании вариантов осуществления изобретения.

Событие информационной безопасности (ИБ) — любое идентифицированное событие в компьютерной системе или сети, связанное с информационной безопасностью.

Направленная атака (также целевая или целенаправленная атака, от англ. targeted attack — TA) — компьютерная атака на конкретную информационную систему организации или физического лица с целью проникновения в сеть и нанесения различного рода ущерба организации или физическому лицу.

Суть изобретения заключается в том, что все произошедшие и обнаруженные события отправляются в анализатор, который на основе множества оценок, зависящих от данных о событии, выставляет уровень опасности событиям. Примерами таких событий являются события, указывающие на обнаружение вредоносного программного обеспечения (ВПО), события, указывающие на выявление уязвимости, а также события, указывающие на запуск/перезапуск сервера, компьютера или процесса, и т.п. В зависимости от реализации настоящего изобретения упомянутые оценки и уровень опасности принимают определенные значения, что позволяет впоследствии ранжировать события по уровню опасности, разделять на кластеры в зависимости от уровней опасности и организовывать их фильтрацию по заданному порогу уровня опасности.

На Фиг. 1 представлен пример объединения компьютеров 100 и сервера 140 в сеть 110, а также взаимодействие с пользователем 160 посредством интерфейса обратной связи 150 с сервером 140 для реализации системы определения уровня опасности 170. В рамках данного описания в качестве признака «пользователь» могут быть использованы такие признаки как: оператор, эксперт, аналитик или офицер безопасности (ОБ). В данной заявке под компьютером 100 понимается любое вычислительное устройство, в частности персональный компьютер, ноутбук, смартфон, планшет, маршрутизатор, система хранения данных, сервер. Элементы системы 170 могут быть реализованы на компьютере (компьютерном устройстве) общего назначения, пример которого представлен на Фиг. 11. В одном из частных вариантов реализации система может содержать один компьютер 100. В предпочтительном варианте реализации система содержит два и более компьютеров 100 (ПК 1 – ПК N), объединенных в сеть 110. На указанном примере системы 170 данные, касающиеся информационной безопасности, передаются со всех компьютеров 100 через сеть 110 в модуль сбора данных 120 на сервере 140 в виде событий. Информация о событиях включает:

• информацию о компоненте защиты, обнаружившем событие (например, название или другой идентификатор — «защита от веб-угроз», «защита от файловых угроз» и другие, примеры которых представлены далее),

• информацию о технологии защиты, обнаружившей событие (например, название или другой идентификатор — «автоматический анализ», «экспертный анализ» и другие, примеры которых представлены далее),

• время обнаружения события.

Например, компонент «защита от файловых угроз» может использовать несколько технологий защиты: сигнатурный анализ, эвристический анализ, анализ с использованием методов машинного обучения и другие технологии защиты. Таким образом компонент защиты указывает на категорию возможной угрозы ИБ. А технология защиты указывает на то, каким видом анализа была обнаружена угроза.

В частных вариантах реализации в качестве времени обнаружения события может быть выбрано время наступления события на компьютере 100, время получения события сервером 140, время обнаружения события компонентом защиты или другое значение времени, характеризующее наступление или обнаружение события.

Модуль сбора данных 120 отправляет данные о событиях в анализатор 130, предназначенный для анализа и определения уровня опасности событий. В анализаторе 130 для каждого события определяется уровень опасности на основе множества оценок, включающих по крайней мере следующие:

• оценку компьютера 100, на котором произошло событие;

• оценку опасности события;

• оценку на основе времени обнаружения события;

• оценку на основе технологии защиты, с помощью которой было обнаружено событие;

• оценку на основе компонента защиты, который обнаружил событие;

• оценку на основе правил фильтрации, созданных офицером безопасности и хранящихся в базе правил фильтрации и оценки 230 (см. Фиг. 2);

• иные оценки.

Стоит отметить, что события могут свидетельствовать как о легитимности, так и об инциденте ИБ. В рамках данного изобретения легитимными называют те события, которые были инициированы офицером безопасности или отмечены офицером безопасности как легитимные. Поэтому важно определять уровень опасности событий и ранжировать события. Обнаруженные на компьютере 100 события с высоким уровнем опасности свидетельствуют о высокой вероятности инцидента ИБ, в то время как события с низким уровнем опасности более вероятно являются легитимными или не представляют большой угрозы. Также изобретение повышает скорость обнаружения инцидентов ИБ за счет формирования запроса и получения ответа от офицера безопасности 160 посредством интерфейса обратной связи 150. Запрос содержит информацию о событиях с наиболее высоким уровнем опасности.

Также стоит отметить, что в общем случае событие может произойти на одном компьютере 100, однако оно может быть и на другом компьютере 100. Например, на одном компьютере 100 может быть установлено ПО, содержащее уязвимость, но при этом на этом компьютере 100 может быть не установлен компонент защиты, способный обнаружить указанную уязвимость. И если со второго компьютера 100 произойдет атака на первый компьютер 100, то после обработки события на первом компьютере 100 анализатор 130 выявит, что атака произошла со второго компьютера 100, и сообщит об этом офицеру безопасности 160 посредством интерфейса обратной связи 150. Поэтому, в частном варианте реализации уровень опасности определяют дополнительно на основе оценки компьютера 100, на котором обнаружено событие, если событие произошло на одном компьютере (например, ПК1), а обнаружено на другом компьютере (например, ПК2).

Под оценкой опасности событий предполагается оценка событий из базы угроз 200, указанной на Фиг. 2.

К компонентам защиты относятся как минимум следующие компоненты: компонент, реализующий защиту от веб-угроз; компонент, реализующий защиту от файловых угроз; компонент, реализующий защиту от почтовых угроз; компонент, реализующий защиту от эксплойтов; компонент, реализующий предотвращение вторжения; компонент, реализующий анализ поведения (см. Фиг. 7). На Фиг. 7 в графе «количество» указано количество событий, обнаруженных тем или иным компонентом защиты. В графе «оценка» указана оценка события на основе компонента защиты, который обнаружил это событие. Могут быть использованы и другие компоненты защиты, известные из уровня техники, например, представленные в описании патента RU2763115.

Стоит отметить, что в системе определения уровня опасности 170 для каждого события указана информация о компоненте защиты. Если событие было обнаружено, но ни один компонент защиты не связан с обнаружением этого события, то в информации о компоненте защиты выставляется значение «неизвестно». Как было описано выше, данные о каждом событии, произошедшем на компьютере 100, поступают в систему определения уровня опасности 170 с сервера 140 посредством модуля сбора данных 120. Но если событие было обнаружено, например, при помощи оценки события из базы угроз 200 (то есть оценка опасности события), а в систему определения уровня опасности 170 не поступили данные о компоненте защиты, обнаружившем угрозу, то в данных о компоненте защиты анализатор 130 выставляет значение «неизвестно». Кроме того, событие может быть обнаружено средством на компьютере 100, не являющимся средством защиты и не содержащем компоненты защиты (например, событие может быть получено из системных журналов ОС Windows).

К технологиям защиты (см. Фиг. 8) относятся как минимум следующие: автоматический анализ; экспертный анализ; облачный анализ; анализ на основе машинного обучения; анализ поведения. На Фиг. 8 в графе «количество» указано количество событий, обнаруженных той или иной технологии защиты. В графе «оценка» указана оценка на основе технологии защиты, с помощью которой было обнаружено событие. Автоматический анализ производится анализатором 130. Экспертный анализ — анализ события осуществляется при помощи взаимодействия с пользователем (экспертом/офицером безопасности 160) в виде запросов и получения ответов с помощью интерфейса обратной связи 150. Анализ поведения — анализ по факту запуска процесса из файла и отслеживания системных вызовов во время исполнения процесса. Облачный анализ — анализ событий с помощью удаленных сервисов безопасности. В качестве примера удаленного сервиса можно привести Kaspersky Security Network (KSN). Анализ на основе машинного обучения заключается в использовании различных методов, таких как нейронные сети (англ. neural network), случайный лес (англ. Random forest), метод опорных векторов (англ. Support vector machine), которые используют в качестве входных данных параметры событий с компьютера 100 для определения вредоносного поведения.

Также в одном варианте реализации изобретения система определения уровня опасности 170 получает от офицера безопасности 160 вердикты по автоматическим оценкам, выставленным системой определения уровня опасности 170. Полученные вердикты офицера безопасности 160 имеют вид: «согласен», «не согласен», «не согласен - оценка занижена» и «не согласен - оценка завышена». После получения вердиктов офицера безопасности 160, система определения уровня опасности 170 скорректирует свои оценки.

Для каждого события указана информация о технологии защиты. Если событие было обнаружено, но ни одна технология защиты этому не поспособствовала, то в информации о технологии защиты выставляется значение «неизвестно».

В одном из вариантов реализации изобретения оценка компьютера представляется в виде фиксированного значения, присвоенного каждому компьютеру 100 анализатором 130. В еще одном варианте реализации если компьютер, обнаруживший событие, отличается от компьютера, на котором событие произошло, то анализатор 130 выставляет указанным компьютерам разные оценки.

В другой реализации изобретения оценка компьютера представляет собой объединение анализатором 130 оценки на основе меток 320 и оценки на основе установленного программного обеспечения 360. Метки могут быть как у отдельного компьютера, так и у группы компьютеров. Например, к компьютеру относится метка «инженер», указывающая на роль пользователя компьютера. Этой метке соответствует числовая оценка 2. Также на этом компьютере установлено ПО «SCADA - система», которому соответствует оценка 20. В простейшем варианте реализации изобретения для подсчета оценки компьютера нужно сложить оценку на основе метки и оценку на основе установленного ПО. Таким образом, в данном частном варианте реализации изобретения оценка компьютера будет равна 22.

В частном варианте реализации изобретения система определения уровня опасности 170 предоставляет офицеру безопасности 160 информацию о событиях в виде отчета, в котором отсортированы все события в зависимости от уровня опасности события, посредству интерфейса обратной связи 150.

Стоит отметить, что помимо отчета система определения уровня опасности 170 дополнительно формирует журнал событий, который в дальнейшем обновляется с заданной периодичностью. Он необходим для постоянного сканирования системой определения уровня опасности 170 всей компьютерной сети 110 на наличие угроз информационной безопасности. В случае возникновения угрозы, включающей событие с высоким уровнем опасности, система определения уровня опасности 170 проинформирует офицера безопасности 160.

На Фиг. 2 представлен пример реализации анализатора 130, предназначенного для анализа и определения уровня опасности событий, включая полученную системой определения уровня опасности 170 обратную связь от офицера безопасности 160, посредству интерфейса обратной связи 150, путем создания базы правил фильтрации и оценки 230 в модуле оценки офицера безопасности (оценки ОБ) 220, базы знаний 240 и базы программного обеспечения (ПО) 250.

В базе угроз 200 указаны все известные уязвимости и ВПО, которым выставлены числовые оценки в соответствии с их опасностью, характеризуемой оценкой опасности события. В частном варианте реализации также выставлены числовые оценки для событий, которые могут привести к эксплуатации уязвимостей.

Все события поступают из модуля сбора данных 120 в модуль автоматической оценки 210. В модуле автоматической оценки 210 каждому событию выставляется оценка опасности события с использованием базы угроз 200, после чего события сортируются (ранжируются).

В частном варианте реализации система определения уровня опасности 170 изменяет оценку опасности события с учетом обратной связи от офицера безопасности 160. Для этого система 170 сортирует события по первоначальным значениям оценки опасности событий. Далее все события предоставляются посредством интерфейса обратной связи 150 системой определения уровня опасности 170 для оценки офицером безопасности 160. Благодаря тому, что все события отсортированы системой определения уровня опасности 170, офицер безопасности 160 может проанализировать сначала наиболее опасные события, то есть те, у которых оценка опасности события выше, так как они наиболее приоритетны и представляют бóльшую угрозу компьютерной системе.

В системе определения уровня опасности 170, а именно в модуле автоматической оценки 210, реализована модель машинного обучения, которая обучается на оценках опасности событий, полученных от офицера безопасности 160 посредством интерфейса обратной связи 150. Благодаря этому события, которые уже встречались или похожи на те, которые уже встречались, с заданной точностью, будут оцениваться анализатором 130 автоматически. Все данные (обнаруженные угрозы, время обнаружения угроз и т.д.) проанализированных анализатором 130 событий хранятся в базе знаний 240. Похожесть событий анализатор 130 может определять с использованием меры (метрики) близости, например меры Жаккара, коэффициента Кульчинского и других известных из уровня техники метрик.

Система определения уровня опасности 170 также учитывает полученные посредству интерфейса обратной связи 150 правила фильтрации и оценки от офицера безопасности 160, которые впоследствии хранятся в базе правил фильтрации и оценки 230. Пример применения правила фильтрации и оценки: на одном компьютере постоянно (или с заданной периодичностью) происходит одно и то же событие, а офицер безопасности 160 установит, что оно не представляет опасности, то он может создать правило фильтрации и оценку на основе правила фильтрации, которая снижает уровень опасности этого события на определенном компьютере 100 или компьютерах 100 всей сети 110.

В другом примере система определения уровня опасности 170 может увеличивать уровень опасности определенных событий — то есть определяют уровень опасности событий дополнительно с учетом обратной связи офицера безопасности 160 посредством интерфейса обратной связи 150. Например, событию “HEUR:Exploit.General” анализатор 130 автоматически выставляет оценку опасности события, равную двум, но офицер безопасности 160 может создать правило фильтрации и оценку на основе правила фильтрации, равную значению, которое в совокупности с оценкой опасности события повысит уровень опасности события, после чего ее значение будет превышать два (например, 4). Причем оценка на основе правил фильтрации может быть создана офицером безопасности 160 для одного компьютера, для группы компьютеров 100 или для всех компьютеров сети 110. Все правила фильтрации и оценки, сформированные офицером безопасности 160, поступают в анализатор 130 посредством интерфейса обратной связи 150 и хранятся в базе правил фильтрации и оценки 230.

Таким образом, благодаря тому, что базы 230 и 240 будут постоянно пополняться, офицер безопасности 160 не будет работать с незначительными событиями, не представляющими угрозы информационной безопасности, вследствие чего со временем работы данной системы 170 будет понижаться вероятность того, что опасное событие затеряется на фоне незначительных.

На Фиг. 3 представлен пример основных источников вычисления (определения) уровня опасности событий анализатором 130. Уровень опасности событий определяется из следующих оценок: оценка группы компьютеров (300, 310), оценка группы домена 340, оценка организационного подразделения (ОП) домена 350, оценка, основанная на метках 320, оценка на основе установленного программного обеспечения (ПО) 360, оценка уязвимостей 370, оценка на основе статистики обнаружения событий на компьютере 330.

Предполагается, что каждая группа (на Фиг. 3 — группа компьютеров 300 или 310) имеет свою оценку, по умолчанию, например, нейтральную и равную нулю. Оценка конкретного компьютера вычисляется анализатором 130 с учетом оценок всех групп, связывающих этот компьютер с сервером, например путем их суммирования. Например, на Фиг. 4, представлен пример компьютерной сети 110, состоящей из пяти групп компьютеров 400-440, связанных с сервером 140. В каждой из групп от 2 до 3 компьютеров (на фигуре —– ПК1-ПК14). Каждой группе компьютеров выставлена оценка группы компьютеров (на фигуре указана в левом верхнем углу). Оценка каждого компьютера может быть рассчитана анализатором 130 как сумма оценок групп компьютеров, которые связывают компьютер с сервером 140. Например, оценка ПК 12 будет равна 9 (сумма оценок групп компьютеров 400, 410 и 420), а оценка ПК 9 будет равна 7(сумма оценок групп компьютеров 410 и 420). Таким образом, анализатор 130 может выставлять оценку компьютеру на основе оценки группы компьютеров, к которой принадлежит этот компьютер.

Оценку компьютера также выставляют в зависимости от оценки на основе группы домена 340, если компьютер относится к домену указанной группы доменов. Кроме того, оценка компьютера также начисляется анализатором 130 в зависимости от оценки организационного подразделения домена 350. В частном примере реализации оценка на основе группы домена 340 начисляется так же, как по группам компьютеров 300-310.

В частном варианте реализации офицер безопасности 160 присваивает одну или несколько меток отдельным компьютерам и/или группам компьютеров. Анализатор 130 получает присвоенные метки посредством интерфейса обратной связи 150. Присвоенные метки используются для более точного определения уровня опасности событий. Для этого каждой метке выставляют оценку метки. После этого анализатор 130 вычисляет оценку на основе меток 320. Примеры меток и оценок: «оператор» - 2; «инженер» - 5 и т.п. В одном варианте реализации оценка на основе меток 320 равна максимальной из оценок всех меток, относящихся к компьютеру. В другом варианте реализации оценка на основе меток 320 равна сумме оценок всех меток.

Также предполагается выставление анализатором 130 оценки компьютера на основе установленного на компьютере программного обеспечения 360. Оценке компьютера может быть присвоено значение по умолчанию, например равное нулю. Таким образом, если на компьютере установлено определенное ПО (например, система криптографии, система верификации электронной цифровой подписи, SCADA — системы, серверные программы, офисные программы, сетевые программы, программы удаленного администрирования и другие), то это означает, что на компьютере есть важная информация, данные и/или доступ к специфическому/профессиональному ПО. Выставление оценок анализатором 130 выполняется на основе данных из базы ПО 250, в которой указан список ПО и соответствующие ему оценки. Стоит отметить, что установка или удаление ПО будет автоматически корректировать оценку компьютера благодаря анализатору 130 без участия офицера безопасности 160, что значительно повышает безопасность больших компьютерных сетей.

Фиг. 5 иллюстрирует пример формирования анализатором 130 оценки, зависящей от времени обнаружения уязвимостей 370. В данном примере дополнительная оценка не выставляется в случае обнаружения уязвимости с 7:45 до 17:45. В остальное время дополнительная оценка выставляется. В указанном примере пользователь работает за компьютером в ранее указанный промежуток времени. Таким образом, если на компьютере 100 произойдет событие вне этого промежутка времени, велика вероятность того, что компьютер 100 был скомпрометирован, следовательно, этому событию нужно выставить дополнительную оценку.

На Фиг. 6 представлен пример формирования анализатором 130 оценки, зависящей от таких факторов, как повышенные права доступа пользователя компьютера, например, наличие прав локального администратора, наличие прав доступа к интернету на компьютере. Таким образом, если при обнаружении уязвимости на компьютере есть доступ в интернет или права локального администратора, то анализатор 130 увеличит оценку события.

На Фиг. 9 представлен пример отчета о произошедших событиях. В данном примере событие HEUR:Hoax.HTML.Phish.gen означает обнаружение электронных писем с опасным контентом. Trojan.Multi.BroSubsc.gen — типовое событие, означающее, что в браузере где-то сохранена рекламная или фишинговая ссылка. На данном примере видно, что анализ офицером безопасности определенных событий, количество которых высоко, является для него ежедневной рутиной, в то время как какие-то другие события встречаются довольно редко и им нужно уделить особое внимание для анализа, т.к. они могут представлять большую угрозу. Подобный отчет может формироваться как за все время работы системы, так и за определенный промежуток времени, который укажет офицер безопасности, или периодически. Также стоит отметить, что если за короткий интервал времени (например, по умолчанию равный 8 часам, но офицер безопасности может его изменить) на компьютере обнаруживается несколько событий с высокой оценкой, то оценка опасности таких событий будет повышаться анализатором 130. Это связанно с тем, что подобная активность может указывать на то, что на компьютер была предпринята компьютерная атака.

При выявлении системой 170 опасных событий с высоким уровнем опасности (то есть превышающим заданный порог) всем остальным событиям с компьютера в пределах определенного интервала времени поднимается приоритет (повышается оценка компьютера) до уровня максимально выявленной угрозы из базы угроз 200. Это важно в случае, когда перед компьютерной атакой пользователь компьютера переходил по фишинговым ссылкам, что могло быть причиной последующей атаки, но эти события имеют уровень опасности куда ниже событий, связанных с компьютерной атакой, и могут быть отфильтрованы, что негативно повлияет на последующий анализ офицером безопасности 160.

На Фиг. 10 показан пример базы правил фильтрации и оценки, которую наполняет офицер безопасности 160. Символ «*» подразумевает наличие любых символов и в любом количестве. Правило может относится к компьютеру, к группам компьютеров, к определенному пользователю компьютера, к определенному событию или пути (под путем подразумевается локальный путь в файловой системе операционной системы для конкретного компьютера). Например, если на компьютере “SERVER1” будет обнаружено событие “Scan.Generic.PortScan.TCP”, то этому компьютеру будет выставлена оценка -10. Правила фильтрации могут не только понижать оценку компьютера, но и повышать ее.

Если система определения уровня опасности 170 обнаружит легитимное событие с высоким уровнем опасности, то офицер безопасности 160 посредством интерфейса обратной связи 150 сможет добавить этому событию отрицательную оценку. Это может быть полезным, например, если нужно перезапустить сервис на сервере 140, но сам сервер 140 перезапускать нельзя. В таком случае перезапуск сервиса определится как событие с высоким уровнем опасности, что приведет к рекурсивному поднятию уровня опасности событий на компьютерах в группе и связанных группах. Журнал событий заполнится событиями, неверно определенными как опасные. Для решения данной проблемы в технологии используется следующий подход. В начало команды перезапуска сервиса посредством интерфейса обратной связи 150 передается правило, которое отправляет в систему определения уровня опасности 170 сигнал о том, что инициируется опасный процесс. Этот сигнал верифицируется при помощи токена, специфичный для конкретного компьютера 100 и если все корректно, то для данного компьютера включаются дополнительные правила вычисления оценки (ранее упомянутое понижение оценки офицером безопасности). Под токеном понимается уникальный набор символов, представляемый в виде ключ-пароля. Использование токена позволяет системе понять, что действия выполняются офицером безопасности, а не злоумышленником. В одном варианте реализации изобретения дополнительное правило вычисления оценки перестанет действовать, как только в систему вычисления уровня опасности 170 придет сигнал, по структуре похожий на первый сигнал. В другом варианте реализации изобретения дополнительное правило вычисления оценки перестанет действовать через определенный промежуток времени.

В системе определения уровня опасности 170 реализована система постоянного сканирования компьютеров 100 на наличие угроз из базы угроз 200. В одном варианте реализации изобретения этот порог задается явно, в виде определенного числа. Таким образом, если оценка опасности событий с определенного компьютера превысит определенный порог, то офицеру безопасности 160 придет уведомление. По умолчанию сканирование происходит периодически, например каждые 6 часов. Кроме того, периодичность сканирования может зависеть от времени, текущей загрузки системы определения уровня опасности 170, а также от других факторов. Благодаря такой реализации повышается безопасность всей компьютерной сети 110, так как реагирование на инцидент ИБ произойдет незамедлительно. Под реагированием на инцидент ИБ понимается структурированная совокупность действий, направленная на установление деталей инцидента, минимизацию ущерба от инцидента и предотвращение повторения инцидента ИБ.

В одном варианте реализации изобретения уровень опасности событий вычисляется следующим образом. Данные о событиях, собранные на сервере, поступают в систему определения уровня опасности 170. Из модуля сбора данных 120 они поступают в анализатор 130. Анализатор 130 выставляет первую оценку в зависимости от того, на каком компьютере оно произошло. Анализатор 130 выставляет каждому событию вторую оценку, в зависимости от того, к какой группе компьютеров 100 принадлежит компьютер 100, на котором произошло событие. Анализатор 130 выставляет каждому событию третью оценку, в зависимости от того, к какой группе домена 340 принадлежит компьютер 100, на котором произошло событие. Анализатор 130 выставляет каждому событию четвертую оценку, на основании того, в какое время обнаружено событие. Анализатор 130 выставляет пятую оценку в зависимости от того, какая была обнаружена угроза из базы угроз 200. Анализатор 130 выставляет шестую оценку в зависимости от того к какому компоненту защиты относится событие. Анализатор 130 выставляет седьмую оценку на основании того, с использованием какой технологией защиты было обнаружено событие. Для каждого события все вышеперечисленные оценки складываются, после чего событию выставляется вычисленный уровень опасности события. В других вариантах реализации из оценок может выбираться максимальное значение или вычисляться среднее (или медиана).

В другом варианте реализации изобретения используется более сложная методика — умножение оценок на весовые коэффициенты, отражающие значимость определенных оценок, т.е. помимо числового отличия различных оценок в системе присутствуют коэффициенты для каждого критерия, необходимого для определения уровня опасности события. Данный подход позволяет регулировать значимость оценок анализатора 130 по желанию. Весовые коэффициенты могут меняться в зависимости от времени обнаружения события. Например, коэффициент оценки на основе оценки группы компьютеров в дневное время, например с 12:00 до 16:00, будет одним, а в ночное время, например с 22:00 до 4:00, — другим. Благодаря такому подходу определение уровня опасности события системой 170 становится очень гибким.

В еще одном частном варианте реализации дополнительно выставляют оценку, связанную с работой офицера безопасности 160, в ходе которой произойдут легитимные события, которые были восприняты как угроза. Например, перезапуск процесса в системе является событием с высокой оценкой, так как может свидетельствовать о нарушении информационной безопасности. Но, если перезапуск процесса необходим для нормального функционирования системы, офицер безопасности 160 выставит компьютеру вручную отрицательную оценку (например, равную противоположному значению оценки события перезапуска), чтобы во время перезапуска процесса, оценка компьютера стала равной значению до перезапуска системы. Таким образом, система будет непрерывно сканироваться на наличие угроз информационной безопасности, но при этом не будет реагировать на легитимные действия офицера безопасности.

В частном варианте реализации высокий уровень опасности события свидетельствует о необходимости оповещения офицера безопасности 160 об обнаруженном высоком уровне опасности события.

В другой реализации изобретения система определения уровня опасности 170 выставляет уровень опасности события на основе числовых оценок с использованием модели анализа, основанной на нечеткой логике.

Данный подход имеет множество преимуществ. Во-первых, уход от конкретных значений в термины модели нечеткой логики. Например, «опасность очень высокая», «опасность низкая» и т. д. Данные оценки более понятны человеку, что, несомненно, является преимуществом такого подхода. Во-вторых, нечеткая логика хорошо работает в пограничных случаях. В случае с привязкой конкретной оценки к определенному уровню опасности события придется указывать четкую границу. Например, уровень опасности события «опасность высокая» должен присваиваться событию при оценке больше 25. Но если оценка 24.9, то уровень опасности события «опасность высокая» не присвоится. В модели нечеткой логики это учитывается. Например, уровень опасности события «опасность высокая» начинается с 25. Но на значении 24.9 событию присвоится и уровень опасности события «опасность средняя», и уровень опасности события «опасность высокая» (принадлежность к первому будет примерно 10%, ко второму — 90%).

Входными сигналами модели анализа, основанной на нечеткой логике являются сведения, найденные анализатором 130 по данным события (полное имя, размер, компонент защиты, технология защиты и т.д.) в базе знаний 240 с результатами обучения. В данном примере входные сигналы следующие:

• qr_nc_count — количество файлов с похожими данными, которые ранее удалось успешно поместить в карантин;

• qr_nc_count — количество файлов с похожими данными, которые ранее пытались поместить в карантин, но не вышло (т.е. это были, например, остатки чего-то в реестре);

• qr_malware_count — количество файлов с похожими метаданными, которые ранее успешно помещались в карантин и после изучения были признаны вредоносными;

• qr_new_malware_count — количество файлов с похожими метаданными, которые ранее успешно помещались в карантин. При этом указанные файлы автоматическим анализом не обнаруживались, но после исследования офицером безопасности 160 были признаны новым видом угрозы;

• qr_good_count — количество файлов с похожими метаданными, которые ранее успешно помещались в карантин, после анализа были признаны легитимными и помещены в базу знаний как не вредоносные.

Таким образом, благодаря вышеописанному изобретению решается техническая проблема, заключающаяся в низком уровне обнаружения опасных событий информационной безопасности в компьютерной сети. Достигается технический результат, заключающийся в повышении уровня обнаружения опасных событий информационной безопасности в компьютерной сети за счет ранжирования событий на основе их уровня опасности, который считается в зависимости от оценок, выставленных на основании данных о событии.

Фиг. 11 представляет пример компьютерной системы общего назначения, с помощью которой может быть реализовано настоящее изобретение, в частности система 201 и ее элементы, детекторы 300. Персональный компьютер или сервер 20, содержит центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26, содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.

Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.

Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флеш карты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.

Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь (оператор) имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например, при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например, колонками, принтером и т.п.

Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 11. В вычислительной сети могут присутствовать также и другие устройства, например, маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.

Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях (также — информационных системах), внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.

В соответствии с описанием, компоненты, этапы исполнения, структура данных, описанные выше, могут быть выполнены, используя различные типы операционных систем, компьютерных платформ, программ.

В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.

Claims (81)

1. Реализуемый на компьютере способ определения уровня опасности событий информационной безопасности (далее - событий), согласно которому:

а) получают данные о событиях, произошедших по меньшей мере на одном компьютере, причем данные о событиях включают:

• информацию о компоненте защиты, обнаружившем событие;

• информацию о технологии защиты, обнаружившей событие;

• время обнаружения события;

б) на основании полученных данных о событиях выставляют оценки каждому событию, где выставляемыми оценками являются:

• оценка компьютеру, на котором произошло событие;

• оценка опасности события;

• оценка на основе времени обнаружения события;

• оценка на основе технологии защиты, обнаружившей событие;

• оценка на основе компонента защиты, обнаружившего событие;

• оценка на основе правил фильтрации, хранящихся в базе правил фильтрации;

• оценка группы компьютеров, к которой принадлежит компьютер, на котором произошло или обнаружено событие;

• оценка на основе прав доступа пользователя компьютера, на котором произошло или обнаружено событие;

• оценка группы домена;

• оценка организационного подразделения домена;

• оценка на основе наличия на компьютере, на котором произошло или обнаружено событие, доступа в интернет;

• оценка компьютера, на котором обнаружено событие, если событие произошло на другом компьютере, на котором оно не было обнаружено;

• оценка, основанную на действиях офицера безопасности;

при этом выставляют только те оценки, для которых получены данные о событиях;

в) определяют уровень опасности события, в зависимости от выставленных оценок.

2. Способ по п. 1, в котором определяют уровень опасности события по меньшей мере одним из следующих способов:

• вычисляют сумму выставленных оценок;

• вычисляют среднее значение выставленных оценок;

• вычисляют медиану выставленных оценок;

• с использованием модели анализа, основанной на нечеткой логике.

3. Способ по п. 1, в котором оценку компьютера вычисляют с помощью оценки на основе меток и оценки на основе установленного программного обеспечения.

4. Способ по п. 1, в котором дополнительно выставляют оценку, вычисленную на основе модели машинного обучения, обученной на полученных от офицера безопасности оценках.

5. Способ по п. 1, в котором под компонентой защиты понимают по меньшей мере следующие компоненты:

• компонент, реализующий защиту от веб-угроз;

• компонент, реализующий защиту от файловых угроз;

• компонент, реализующий защиту от почтовых угроз;

• компонент, реализующий защиту от эксплойтов;

• компонент, реализующий предотвращение вторжения;

• компонент, реализующий анализ поведения.

6. Способ по п. 1, в котором технологиями защиты являются по меньшей мере один из:

• сигнатурный анализ,

• эвристический анализ,

• анализ с использованием методов машинного обучения,

• анализ поведения.

7. Система определения уровня опасности событий информационной безопасности (далее - событий), содержащая:

а) модуль сбора данных, предназначенный для получения данных о событиях, произошедших по меньшей мере на одном компьютере, причем данные о событиях включают:

• информацию о компоненте защиты, обнаружившем событие;

• информацию о технологии защиты, обнаружившей событие;

• время обнаружения события;

б) анализатор, предназначенный для:

i. выставления каждому событию следующих оценок:

• оценку компьютера, на котором произошло событие;

• оценку опасности события;

• оценку на основе времени обнаружения события;

• оценку на основе технологии защиты, обнаружившей событие;

• оценку на основе компонента защиты, обнаружившего событие;

• оценку на основе правил фильтрации, хранящихся в базе правил фильтрации;

• оценку группы компьютеров, к которой принадлежит компьютер, на котором произошло или обнаружено событие;

• оценку на основе прав доступа пользователя компьютера, на котором произошло или обнаружено событие;

• оценку группы домена;

• оценку организационного подразделения домена;

• оценку на основе наличия на компьютере, на котором произошло или обнаружено событие, доступа в интернет;

• оценку компьютера, на котором обнаружено событие, если событие произошло на другом компьютере, на котором оно не было обнаружено;

• оценку, основанную на действиях офицера безопасности;

при этом выставляют только те оценки, для которых получены данные о событиях;

ii. определения уровней опасности событий, в зависимости от выставленных оценок.

8. Система по п. 7, в которой определяют уровень опасности события по меньшей мере одним из следующих способов:

• вычисляют сумму выставленных оценок;

• вычисляют среднее значение выставленных оценок;

• вычисляют медиану выставленных оценок;

• с использованием модели анализа, основанной на нечеткой логике.

9. Система по п. 7, в которой оценку компьютера вычисляют с помощью оценки на основе меток и оценки на основе установленного программного обеспечения.

10. Система по п. 7, в которой дополнительно выставляют оценку, вычисленную на основе модели машинного обучения, обученной на полученных от офицера безопасности оценках.

11. Система по п. 7, в которой под компонентой защиты понимают по меньшей мере следующие компоненты:

• компонент, реализующий защиту от веб-угроз;

• компонент, реализующий защиту от файловых угроз;

• компонент, реализующий защиту от почтовых угроз;

• компонент, реализующий защиту от эксплойтов;

• компонент, реализующий предотвращение вторжения;

• компонент, реализующий анализ поведения.

12. Система по п. 7, в которой технологиями защиты являются по меньшей мере один из:

• сигнатурный анализ,

• эвристический анализ,

• анализ с использованием методов машинного обучения,

• анализ поведения.