Оглавление

1. Применение базы знаний MITRE ENGANG для обеспечения процессов,

проектирования и создания системы защиты информации..........................................2
2. Применение базы знаний mitre d3fend для обеспечения процессов обнаружения и
реагирования на киберинциденты...................................................................................5
3. Противодействие вредоносным программа................................................................7
4. Системы резервного копирования данных.............................................................11
5. Атаки на уровне приложений SQL инъекция........................................................14
6. Web application firewall (WAF)................................................................................15
7. Honeypot.....................................................................................................................17
8. Deception......................................................................................................................18
9. Системы противодействия утечке данных................................................................20
10. Журналы событий......................................................................................................21
11. SIEM............................................................................................................................25
12. Типы и записи событий ИБ, подлежащих регистрации........................................28
13. Требования по кибербезопасности объектов информационной инфраструктур 31
14. Национальная система обеспечения кибербезопасности Республики Беларусь.32
15. Центр кибербезопасности (ЦКБ).............................................................................33
16. Уровни киберинцидентов и технический состав их параметров..........................34
17. Программно-технические средства для обнаружения кибератак.........................35
18. Реагирование на киберинцидент..............................................................................38
 1. Применение базы знаний MITRE ENGANG для обеспечения
процессов, проектирования и создания системы защиты
информации

База знаний Mitre attack

MITRE ATTACK – интерактивная база знаний, включающая тактики, техники и
процедуры (ТТР), которые использует нарушитель при проведении кибератаки по сути
описывающая модель нарушителя.
Нарушитель безопасности информации – физическое лицо, случайно или преднамеренно
совершившее действия, следствием которых является нарушение безопасности
информации при ее обработке техническими средствами в информационных системах
(ИС)

Проектирование и создание системы ЗИ

Цели ЗИ – ожидаемый результат функционирования системы ЗИ.

Ограничения – наличие специалистов, финансовые, технологические и др.

Система защиты информации – совокупность органов и исполнителей, используемой ими
техники ЗИ, объектов защиты, организованная и функционирующая по правилам,
установленным соответствующими правовыми организационно-распорядительными и
нормативными документами в области ЗИ.
СТБ ГОСТ Р 50992-2000 "защита информации. Основные термины и
определения"

Цель – формулирование результата и определения спектра задач, которые нужно решить

для его достижения.
Методы – комплексные мероприятия, реализация которых позволит решить поставленные
задачи и достичь цели;
Средства – выбор средств ЗИ, которые позволят решить поставленные задачи.
Основные процессы циклично реализуемые посредством системы ЗИ: защита,
обнаружение и реагирование.

Процессы
Защита – система ЗИ, спроектированная в соответствии с требованиями НПА,
обеспечивает фильтрацию трафика по предопределенным правилам.
Обнаружение – система ЗИ обеспечивает протоколирование событий ИБ реализуя
контроль доступа к активам организации. Специалист по ЗИ используя средства
автоматизации выполняет анализ событий ИБ и осуществляет обнаружение нарушителя.
Реагирование – специалист по ЗИ обнаружив нарушителя, используя инструкцию по
реагированию и средства ЗИ реагирует на киберинцидент для минимизации его
последствий.
 База знаний MITRE ENGANGE
Назначение – интерактивная база знаний, включающая этапы, цели, задачи, методы и
способы, позволяющие обеспечить стратегическое планирование мероприятий для
противодействия нарушителю и обеспечить оценку эффективности такой деятельности.

Этапы и цели стратегического планирования

Подготовка: Цель – формулирование стратегической цели создания системы ЗИ на основе
анализа состава защищаемой ИС и уточненной модели нарушителя для данной ИС.
Реализация: Цель – постановка задач и определение состава мероприятий, которые
позволят их решить.
Оценка: Цель – оценка достаточности и эффективности запланированных мероприятий по
решению поставленных задач и достижению стратегической цели. Корректировка задач и
перечня мероприятий.

Этапы противодействия нарушителю на различных этапах планирования

 Реализация: делится на подэтапы: expose (выявление), affect (влияние), elicit
(изучение).

Декомпозиция этапа "реализация"

Выявление: Задача – обнаружение нарушителя при его первоначальном доступе к ИС
(ТА0001) или при его "горизонтальном" перемещении (ТА0002-ТА0008) в ИС.
Влияние: Задача – усложнить нарушителю получить желаемый результат от его
деятельности (ТА0040).
Изучение: Задача – изучить техники, тактики и процедуры (ТТР) используемые
нарушителем при реализации кибератаки.

Источник информации о ТТР нарушителя:

1) база знаний MITRE ATTACK;
2) общедоступная информация, содержащаяся в отчётах различных организаций (positive
technologies, лаборатория Касперского, Ростелеком и ид);
3) данные киберразведки (threat intelligence);
4) журналы событий хостов, информация, получаемая от систем-ловушек (Honeypot).

Способы достижения цели на этапе "подготовка"

Пример: cyber threat intelligence (анализ киберугроз) (SAС0004) – анализ информации о
нарушителе и их деятельности, позволяющий снизить ущерб за счёт принятия более
эффективных мер по обеспечению ЗИ.

Методы, позволяющие реализовать задачу: обнаружить нарушителя (expose)

Сбор – поиск информации (хэш, процессы и тд) о используемом ПО нарушителем.
Обнаружение (Detect) – Обнаружение деятельности нарушителя в ИС (мониторинг
событий ИБ).
Способы реализации задачи на этапе "Выявление"
Пример: API Monitoring (контроль программных интерфейсов приложения) (EAC0001) –
контроль внутренних функций ОС с анализом их аргументов и результата.

Уязвимость нарушителя – его слабые стороны, обусловленные его знаниями и

навыками, используемыми программно-техническими ср-ми, которые позволяют
определить мероприятия по эффективному противодействию ему.
 Уязвимости нарушителя в MITRE ENGANG
Уязвимости нарушителя – каждый из способов реализации задачи содержит описание
уязвимостей нарушителя со ссылкой на MITRE ATTACK, использование которых
позволит определить перечень необходимых мероприятий по противодействию ему на
соответствующих этапах его деятельности.

Пример использования уязвимостей нарушителя

Discovery (TA0007) исследование (mitre atack) – нарушитель проводит дополнительную
разведку хостов в ИС.
Действие, выполняемое нарушителем – взаимодействие с объектами ИС с применением
соответствующего ПО – сканирование объектов ИС.
Уязвимость нарушителя – используемые приложения на скомпрометированном хосте,
формируемые запросы и их параметры. Анализ таких сведений позволяет отличить
действия нарушителя скомпрометированного хоста от действий нарушителя от имени
учётной записи пользователя.
Результат использования уязвимостей нарушителя – достижение цели подэтапа
"выявление" – обнаружение нарушителя.

Методы, позволяющие реализовать задачу: усложнить нарушителю достичь

желаемый результат (Affect)
Предотвращение: лишить возможности нарушителя достичь цели кибератаки
(ужесточение сер контроля доступа, изоляция объекта кибератаки);
Манипулирование: создать такие условия для проведения кибератаки нарушителем, при
которых инициатива по ее реализации будет на стороне специалиста по ЗИ.
Создание помех: заставить нарушителя тратить больше ресурсов (снижение скорости в
канале передачи данных, предоставление ложной информации) для проведения
кибератаки.

Способы реализации задач на этапе "Влияние"

Пример: (baseline ЕАС0019) – определить ключевые активы и зафиксировать их
конфигурацию для возвращения их в это состояние при необходимости (восстановление,
резервное копирование).

Методы, позволяющие реализовать задачу: изучить ТТР нарушителя (elict)

Убеждение – минимизация демаскирующих признаков систем-ловушек, которые позволят
убедить нарушителя в том, что это настоящие активы организации.
Мотивация – создать такие условия функционирования систем-ловушек, которые
позволят мотивировать нарушителя поводить кибератаку, взаимодействуя с ними, и
выявить его ТТР.

Способы реализации задачи на этапе "Изучение"

Пример: application diversity (разнообразие приложений ЕАС0006) – использование
различных приложений и сервисов, обеспечение контроля за ними для изучения ТТР
нарушителя.

Методика применения матрицы mitre engang на этапе "Реализация"

1) сформулировать цель и поставить задачи для ее достижения;
2) учитывая модель нарушителя (mitre attack) определить уязвимости нарушителя (mitre
engang);
3) определить мероприятия (mitre engange) по противодействию нарушителю (mitre
attack), учитывая его уязвимости.

Пример использования матрицы MITRE ATTACK ENGANG на этапе "Реализация"

Цель – поставить задачи и определить мероприятия для противодействия группировкам
нарушителей ТТР, которых содержатся в Mitre Attack.
Поставить задачи и определить мероприятия для противодействия нарушителю исходя из
тех способов/методов (mitre attack), которые он применяет для достижения цели.

Способы достижения цели на этапе "оценка": пример - after action rewiews (анализ
реализации мероприятий SAC0006) – анализ информация о деятельности подразделения
по ЗИ (сокращение времени реагирования на киберинциденты, организация более
эффективного его взаимодействия с другими подразделениями организации и
сотрудников подразделения между собой).

2. Применение базы знаний mitre d3fend для обеспечения процессов

обнаружения и реагирования на киберинциденты

Киберинцидент – событие, которое фактически или потенциально угрожает

конфиденциальности, целостности, подлинности, доступности и сохранности
информации, а также представляет собой нарушение политики безопасности.
Указ президента РБ от 14.02.2023
Матрица mitre d3fend – интерактивная база знаний, включающая этапы, методы и
способы противодействия распространенным ТТР нарушителя (mitre attack), позволяющие
обеспечить процессы обнаружения и реагирования на киберинциденты.

Этапы Противодействия нарушителю

 моделирование – цель: инвентаризация ИТ активов ИС, анализ взаимодействия с
ними пользователей, уязвимостей ИС и возможных угроз ИБ.

Методы противодействия нарушителю на этапе "моделирование"

Инвентаризация активов – выполняется учет ИТ активов, оцениваются их свойства
(артифакты) для последующего анализа уязвимостей.

Способы, реализующие метод "инвентаризация активов" противодействия

нарушителю
Пример – Asset Vulneeability enumeration (перечень уязвимостей активов D3-AVE)
– дополняет активы знаниями об их уязмостях.

Методы противодействия нарушителю на этапе "моделирование"

Составление карты сети – составляется схема сети и указываются на ней информационные
потоки;
Учёт операционной деятельности – учёт видов деятельности сотрудников организации и
объединение их в группы и определение их ролей;
Учет компонентов системы: идентификация систем, их конфигурации и разделение их на
подсистемы и компоненты.

 Защита – применение способов защиты, мешающих нарушителю достичь цель.

Методы противодействия нарушителю на этапе "защита":
Защита приложений: повышение устойчивости приложения к экспойтам;
Защита учётных записей: изменение свойств системы или сети приводящие к защите
учётных записей системы или сети/домена;
Защита сообщений: обеспечение конфиденциальности и целостности сообщений,
передаваемых между хостами.
Защита платформы: защита компонентов платформы (BIOS, Trustеd platform Module, ядро
ОС, процесс загрузки ядра ОС) с целью их эксплуатации для НСД.

 Обнаружение – Цель: обнаружение первоначального доступа нарушителя к ИС

или действий, которые он выполняет внутри ее.

Методы противодействия нарушителю на этапе "Обнаружение"

Анализ файлов – аналитический анализ, обеспечивающий обнаружение вредоносных
файлов;
Анализ идентификаторов – анализ идентификаторов (IP адреса, домены, URL адреса);
Анализ сообщений – анализ сообщений для обнаружения нарушителя;
Анализ трафика – аналитический трафика для обнаружения нарушителя;
Анализ платформы – обнаружение модификации компонентов платформы или их НС
использования;
Анализ процесса – наблюдение за процессами на предмет обнаружения нарушителя;
Анализ поведения пользователей – анализ закономерностей поведения пользователей для
обнаружения нарушителя, работающего от имени их учётных записей.

 Изоляция – Цель: создание логических или физических барьеров для затруднения

перемещения нарушителя внутри ИС.

Методы противодействия нарушителю на этапе "изоляция"

Изоляция исполнения кода – предотвращение доступа процессов приложений к
второстепенным системным ресурсам, такие как память, устройства или файлы;
Изоляция сети – предотвращение доступа сетевых узлов к сетевым ресурсам сети.

 Обман – Цель: предоставление доступа нарушителю к контролируемой среде.

Методы противодействия нарушителю на этапе "обман "

Среда-ловушка – включает хост или сеть для отвлечения нарушителя;
Объект-ловушка – Используется для отвлечения нарушителя (файл, доменное имя).

 Ликвидация присутствия – Цель: удалить нарушителя из ИС.

Методы противодействия нарушителю на этапе "ликвидация присутствия "

Ликвидация полномочий – отключение или удаление документированных уч. записей;
Удаление файлов – удаление файлов с дисковых накопителей, которые записал
нарушитель;
Завершение процессов – завершение процессов запущенных нарушителем.

Примеры использования матрицы mitre d3fend

Цель – определить мероприятия по противодействию нарушителю на основе его ТТР,
которые содержатся в mitre att&ck.
3. Противодействие вредоносным программа

Вредоносная программа – (malvаrе) программа, предназначенная для получения

НСД к вычислительным ресурсам хоста или к информации, хранимой на нем, а также
модификации информации и ее уничтожения.

Виды троянских ВП
Бэкдор – способны загружать другие типы ВП, исполняя роль шлюза и выполнять
загружаемую ВП. Примеряются для создания ботнетов (сети подчиненных хостов для
проведения DDoS и тд);
Загрузчик (дроппер) – обеспечивает загрузку других типов ВП;
Эксплойт – ВП позволяющая использовать уязвимость на хосте для выполнения
некоторых действий;
Руткит – обеспечивает сокрытие определённых объектов или действий нарушителя на
хосте;
Банковский троян – обеспечивает получение учётных данных пользователя для доступа к
его банковскому счету;
Шпионы и сборщики – отслеживают вводимые с клавиатуры данные, делают снимки
экрана и получают данные (списки запущенных приложений, адресов электронной почты)

Виды ВП (ransomware)
Шифровальщик – шифрует дисковый накопитель хоста для получения выкупа за его
расшифровку;
Вайпер – шифрует дисковый накопитель (иногда загрузочный сектор накопителя) без
возможности восстановления зашифрованных данных;
Блокировщик – блокируют доступ к хосту, показывая поверх его графического
интерфейса некоторую информацию, в том числе о выкупе.

Распространение по e-mail
1. а) В письме содержится ссылка (гипертекст или изображения) на ВП;
б) Загрузчик упакован в контейнер, например, макрос в документах .doc, .xls, java
script, .pdf и тд
2. Загрузчик соединяется с сервером С2 и загружает тело ВП, которая прописывается
в автозагрузку или создаёт задачу на запуск в планировщике задач.
3. Запуск загруженной ВП может выполняться с дискового накопителя и из
оперативной памяти хоста (бестелесная ВП).

Распространение on line
Межсайтовый скриптинг (XSS) – используются возможности браузера для запуска на
целевом хосте активных компонентов и загрузки тела ВП.
Web-сайты – используется тот факт, что браузер способен выполнять код JS для запуска
на целевом хосте активных компонентов и загрузки тела ВП.
Локальная сеть – посредством внедрения тела ВП в файлы размещённые на сервере для
обновлений ПО и открытые на общий доступ ресурсы.

Распространение троянских ВП:

Автозапуск сменных носителей – на сменном носителе создаётся тело ВП .exe и файл для
его автозапуска .inf.
Подмена информации – 1. легитимные файлы (папки) на сменном носителе получают
атрибут "скрытый".
 2. Тело ВП получает имя легитимного носителя (папки) .lnk.
Не лицензионное ПО – ВП устанавливает на хост при использовании различных
программ (крэков) для снятия лицензионного ограничения.

Сигнатурный (статистический анализ)

Особенности: сравнение с сигнатурами
выполняется для обособленного набора
данных. Взаимосвязь с другими наборами не
учитывается.

Сигнатура – сокращенная форма записи

параметров данных, уникально
идентифицирующая ту или иную атаку.

Виды обособленных наборов данных:

Уровень сети – пакет. Перемещение файла, содержащего ВП, через периметр сети
возможно путем фрагментирования.
Уровень доступа (endpoint) – файл. Структурированный набор данных, который может
содержать в себе ВП.

Анализ событий формируемых СЗИ Antivirus Protection (AVP)

Средство ЗИ: автоматически проверяет данные путём сравнения их с сигнатурами.

Сравнение происходит последовательно с каждой сигнатурой, содержащейся в базе СЗИ.

Аналитик: анализирует события, попавшие в журнал – для обнаружения ложных

срабатываний СЗИ и отсеивания их.

Сигнатурный (статистический анализ):

+ –

1. Использование в системах решающих 1. Может использоваться для систем со

разнообразные задачи (IDS, DLP, AVP); стабильным процессом функционирования;

2. Возможность обновления сигнатур и 2. Возможно обнаруживать только

как следствие расширения спектра известные атаки (нет сигнатуры – нет
обнаруживаемых атак. обнаружения).

Эвристический (динамический) анализ:

Особенности: анализируются выполняемые файлом действия и их последовательность –

анализ взаимосвязанных событий.
 Поведенческие индикаторы ВП

1) Открытие текстового файла;

2) Установка соединения с внешним IP адресом;
Копирование тела программы за пределы папки где она была открыта;
Регистрация в автозагрузке.

Песочница (Sandbox) – изолированная среда (виртуальная) эмулирующая

большинство сервисов хоста для динамического анализа файлов.

Архитектура виртуальной среды

Виртуальная машина (ВМ) – Абстракция аппаратного

обеспечения хоста (ПК или сервер);

Гипервизор – Предоставляет запущенным под его управлением

операционным системам сервис ВМ (эмулирует аппаратное
обеспечение (хоста). Управляет этими ВМ - выделяет и
освобождает ресурсы для них;

Аппаратное обеспечение – реализует вычислительные

операции.

Особенности ВМ

1. Центральный процессор не виртуализируется гипервизором, его ресурсы

распределяются между виртуальными машинами;
2. Аппаратные компоненты при виртуализации представляют собой файлы и не
могут обладать физическими характеристиками HDD;
3. ВМ внутри песочниц разворачиваются без специализированных средств анализа
ВП. Анализ ВП выполняется гипервизором;
4. Изоляция ВП происходит в момент их запуска.

Функционирование песочницы

1. Файлы, поступающие на анализ,

попадают в очередь на проверку
(FIFO);
2. Приложение, отвечающее за
безопасность, вместе с анализатором
выполняет статический анализ.
Проверка объекта в ВМ затратна по
времени и ресурсам. В итоге
определяется, нужно ли отправлять
образец на анализ в песочницу, и
конкретные параметры виртуальной машины (включая версию и разрядность ОС),
а также метод анализа объекта;
 3. Объект помещается в ВМ и исполняется. В ВМ есть только стандартный набор
программ обычного офисного сотрудника типичной компании; также имеется
доступ в интернет (выявить сетевую активность ВП);
4. Все действия исследуемой ВП внутри ВМ через гипервизор попадают в
анализатор, который принимает решение о наличии поведенческих индикаторов;
5. Контекст и результаты анализа заносятся в базу данных для хранения, дальнейшего
использования и обучения анализатора.

Способы противодействия Sandbox

1. Идентификация песочниц по WMI (Windows Management Instrumentation) -

параметры хоста (процессор, ОЗУ, графический ускоритель и т.д.);
2. Запуск ВП после закрытия файла;
3. Задержка запуска ВП по времени на n часов.

Способы скрытия Sandbox

1) Идентификаторы производителей устройств пробрасываются в ВМ или

подменяются DMI (Desktop Management Interface);
2) Эмулируются действия пользователя (движение мыши, запуск приложений, работа
в интернет-браузере).

Особенности проверки ВП в Sandbox

1) Если файл открыть невозможно, то необходимо его удалить;

2) Увеличить время на n часов после открытия файла (исключения – внешний NTP).

Режимы работы СЗИ AVP

Сравнение с эталоном – Поиск ВП по ее сигнатуре или поведенческим индикаторам;

Выборочная проверка – Проверка файла выполняется в ручном режиме;

Антивирусный мониторинг – Обнаружение ВП на «лету» за счет загрузки резидента

AVP в оперативную память защищаемого хоста.

Организационно-технические мероприятия по защите от ВП

1. Игнорирование сообщений от неизвестных отправителей;

2. Работа с правами пользователя;
3. Обновление ПО;
4. Отключение функции автозапуска носителей в ОС;
5. Файловые менеджеры с отображением скрытых файлов (папок);
6. Резервное копирование данных;
7. Anti Virus Protection.

Расширения файлов содержащих ВП (почтовый

трафик): .exe; .html, .htm; .xlsx, .xlsm, .xls; .doc, .docx; .iso.
 4. Системы резервного копирования данных

Цель – создание копии данных на выделенном для этого носителе для их последующего
восстановления в случае реализации угроз безопасности информации.

Задачи резервного копирования

1. Выделение информации для копирования (данные пользователей, настройки

хостов и т.д.);
2. Сохранение выделенной информации для восстановления;
3. Обеспечение надежного хранения информации;
4. Разграничение доступа к резервным копиям.

Способы копирования данных

Резервное копирование – процесс сохранения избыточных копий файлов и

каталогов, находящихся на локальных дисках, на сменные носители;

Архивирование данных – процесс получения «слепка» файлов и каталогов в том

виде, в котором они располагаются на первичном носителе (обычно диск) в данный
момент времени.

Методы резервного копирования

 Полное – заданный набор файлов (например, файловая система) полностью

записывается на сменный носитель. Служит основой для других методов.

Особенности:

1. Надежность;
2. Восстановление выполняется из одной копии и как следствие выше скорость
восстановления;
3. Создание копии данных занимает много времени и ведет к большому расходу
емкости накопителя.

 Декрементный – первая запись на носитель является полной копией. На

последующих этапах копируются только файлы, которые изменились со времени
проведения полного копирования.

Особенности:

1. Для восстановления данных нужно две копии – последние полная и декрементная;

2. Меньшее время копирования по сравнению с полной копией.

 Инкрементный – представляет собой поэтапный способ записи информации. При

использования этого способа первая запись на носитель является полной копией.
На каждом последующем этапе переносятся только файлы, атрибуты которых
изменились со времени предыдущей записи.
 + –

1. Быстрота резервирования; 1. Потеря одной из копий приводит к

2. Минимальный расход емкости невозможности восстановления данных из
носителя. последующих копий

Частота резервного копирования (пример):

1. Полная резервная копия – раз в месяц для всех хостов. Выполняется первого числа
месяца. Время хранения – 3 месяца;
2. Декрементная резервная копия - раз в неделю в субботу. Время хранения – 1 месяц;
3. Инкрементная резервная копия - раз в день. Время хранения – 1 месяц;
4. Перед обновлением ПО создаётся инкрементная резервная копия. Время хранения
– 1 месяц;
5. Последнего числа месяца - репликация полных копий в облачное хранилище
(отчуждаемый носитель). Время хранения – 6 месяцев.

Принципы резервного копирования

1) резервное копирование выполняется по расписанию с учетом загрузки
оборудования/информационной сети;
2) выгрузка резервной копии на отчуждаемый носитель и ее хранение n-суток с
учетом значимости актива (политика резервного копирования);
3) проверка скопированной информации (logcheck) и создание резервной копии по
формуле 3-2-1 (три физически разных хранилища).

RAID – Redunndant Arrays of Inexpensive Data

RAID – избыточный массив недорогих (независимых) дисков. Подразумевает

объединение в массив не больших по объему жестких дисков для повышения
производительности или надежности системы хранения данных.

Архитектура децентрализованной СРКД

ядро системы – некоторый общий ресурс;

ПО, используемое для передачи данных с

рабочих мест пользователей на сервер,
функционирует независимо др от др.

+ –

1. Простота реализации и невысокая 1. Сложность в настройке (расписание

стоимость; резервирования);
2. Можно использовать «штатное» ПО 2. Сложность в управлении;
встроенную в ОС 3. Затруднен мониторинг системы.
Архитектура централизованной СРКД

Сервер – отвечает за обработку трафика

резервного копирования, ведет журналы
операций и отвечает за обращение к
накопителю для чтения – записи данных;

Агент резервного копирования – отвечает за

взаимодействие с сервером, обеспечивая
передачу данных с клиента на сервер и
обратном направлении;

Консоль управления – управление системой

осуществляется с консоли, устанавливаемой на одну из клиентских машин.

Архитектура упрощенной централизованной СРКД Архитектура смешенной СРКД

Off-site

Сервер – хранение зарезервированных данных за территорией предприятия.

1) Копирование на носитель;
2) Использование «облачных сервисов».
Параметры СРКД, влияющие на её выбор.
1. Время копирования - восстановления (производительность);
2. Нагрузка на канал;
3. Нагрузка на дисковую систему сервера;
4. Производительность сервера.
 5. Атаки на уровне приложений SQL инъекция

Авторизация пользователей с использованием веб сервисов

SQL инъекция
SQL – язык программирования, применяемый для создания, модификации и управления
информацией в базах данных.
Цель – атака на базу данных, которая позволяет выполнить некоторые действия за счет
использования внедряемой программы (скрипта).
Скрипт – программа, предназначенная для распознавания кода "на лету" и немедленного
его выполнения.

Пример веб приложений

1. Веб приложение принимает адрес эл почты и пароль и направляет в файл php с
именем index.php (интерпретатор);
2. Сессия хранится в файле cookie. Эта возможность активируется при установке
параметра remember_me. Для отправки данных используется метод post – это
означает, что данные используется метод post –данные не отображаются в URL-
адресе.

Команда SELECT (SQL)

SELECT имя_столбца FROM имя_таблицы WHERE часть_условия
SELECT что_выбрать FROM откуда_выбрать
SEKECT * FROM откуда_выбрать (будет выбрана вся таблица).

Запрос в базу данных

1. SQL запрос использует значения массива $_POST [ ] напрямую, не анализируя его.
2. Пароль хэшируется с использованием алгоритма MD5.

Методология SQL инъекции – нужно вывести в комментарий часть пароля и добавить

условие, которое всегда будет истинным. Атака проводится с учетом формирования
Динамических операторов (создается во время его выполнения на основе параметров из
веб-формы или строки запроса URL).
Синтаксис комментариев
#comment
-- comment
/*cjmment*/
/*!int comment*/–
 Формирование динамического оператора при SQL инъекции
1. xxx@xxx.xxx заканчивается одной кавычкой, которая закрывает строку;
2. OR1=1 LIMIT 1 – УСЛОВИЕ, которое всегда будет истинным, оно ограничивает
возвращаемые результаты только одной записью;
3. – ‘] AND – комментарий SQL, который исключает часть пароля.

Cookie – фрагмент данных, отправляемый сервером клиенту, который тот может

сохранить или отослать обратно с новым запросом к серверу.
1. Управления сеансом (логотипы, корзины);
2. Персонализация (пользовательские предпочтения);
3. Мониторинг (отслеживания действий пользователя).

Заголовки Set-cookie и cookie

Set-cookie – используется для отправки cookie с сервера клиенту. Клиент сохранит cookie
(PHP, Node.js, Python, Ruby on Rails).

Время действия cookie

Expires – дата месяц гол время GMT,
Max-age – 3600 (с)

Захват сессии
Ситуация – юзер прошел аутентификацию в веб приложении, ему в чате написал
знакомый и присылает изображение, просит его посмотреть. – Загружается пароль с
помощью cookie

Межсайтовая подделка запросов (CSFR – cross-site request forgery)

Ситуация – юзер прошел аутентификацию в веб приложении, ему в чате написал
знакомый и присылает изображение, просит его посмотреть.

6. Web application firewall (WAF)

WAF –Межсетевой экран прикладного уровня.

Цель – защита web ресурсов путем проверки HTTP/HTTPS (XML/SOAP) трафика с целью
выявления различных атак на уровне приложений.
Способы реализаций:
1. Программный агент
2. аппаратное устройство в составе NGFW
3. "облачный" сервис (cloud WAF)
Способы анализа трафика
Регулярные выражения – на основании методологии проведения атаки составляется
ключевая синтаксическая конструкция.
Пример (?i) (<script [^>]*>. *? Поиск HTML инъекции типа XSS в теле запроса:
Первая часть обеспечивает не чувствительность второй части к регистру; 2) поиск тега
<script с произвольными параметрами внутри тега и произвольный текст после символа>.

Способы анализа
Scorebuilding – скоринговая оценка, позволяет дополнить обнаружение по
регулярным выражениям в случае возникновения неоднозначного результата. По всем
сработавшим правилам – суммируется из критичность и сравнивается с порогом.
Токенайзеры – для обнаружения SQL injection
1. Http запрос приводят к набору токенов;
2. Сравнивают набор с «черным списком».
Анализ поведения – обнаружение НТТР запросов, генерируемых
автоматизированными средствами и ограничение их количества в минуту
Репутационный анализ – список IP адресов, подлежащих блокировке
(анонимайзеры, торренты).

Алгоритмы работы WAF по регулярным выражениям

1. Парсинг (синтаксический анализ) пакета, который поступил от клиента;
2. Выбор правил в зависимости от типа входящего параметра пакета;
3. Нормализация данных до вида, пригодного для анализа;
4. Применение правил обнаружения;
5. Принятие решения на пропуск или фильтрацию пакета.

Deep packet inspection + WAF

нарушитель: фрагментация пол нагрузки, для обнаружения вкл режим глубокой проверки,
у мэ есть буфер, чтобы обойти поверку надо переполнить буфер.
Мэ ограничивал размер запроса
 7. Honeypot

Назначение – разновидность IDS эмулирующих хосты сети, содержащие уязвимости для

привлечения на себя потенциальной атаки. Не имеет сигнатурного анализатора.
Функции honeypot
Обнаружение – Обнаружение события и формирование оповещения.
Протоколирование – запись обнаруженных событий в системный журнал.

Виды Honeypot
* Слабого взаимодействия – имеют простую структуру и базовую
функциональность. Основная задача – обнаружить сканирование и подключение
представляет собой приложение.
Предоставляемая информация:
1) Время и дата события;
2) IP адрес и порт источника;
3) IP адрес и порт назначения.
* Среднего взаимодействия – имеют расширенную функциональность и
представляют собой виртуальную среду (ОС и прикладное ПО) с которой может
взаимодействовать нарушитель.
* Сильного взаимодействия – представляют собой отдельный хост с ОС и рядом
сервисов.

Honeytoken
Назначение – скрипт, внедренный в файл (pdf, doc), позволяющий при чтении файла
сформировать сообщение (в тч с передачей на e-mail).
Цель – обнаружение нарушителя.
Примеры
1. Ложная учётная запись пользователя службы с определённым SPN (первичное имя
сервиса) и атрибутами adminCount=1 для обнаружения Kerberoastating.
2. Ложные учётные данные в памяти, которые могут быть извлечены, например с
помощью Mimikatz.
3. Ложные учётные записи в контроллере домена без привязки к хостам.
4. Ложные учётные записи администраторов доменов.
5. Ложные общие ресурсы.
6. Ложные записи DNS.

Индикаторы Honeytoken
1. Objects ID – формат не соответствующей настоящей учетной записи;
 2. Last Logon – наличие пользователей, которые никогда не входили в систему, но
имеют привилегии.
3. Logon Count – если у большинства учётных записей средний показатель logonCount
= 50, а у другой 3 или 4, то что-то не так.
4. Bad Pwd Count – нет такого пользователя, который в течение длительного времени
ни разу не ввел бы неправильный пароль.

Honeypot 2.0 – IDS система, имеющая расширенный по отношению Honeypot

функционал.
1) Имитация систем хранения данных на основе файлового сервера.
2) Интеграция с системой управления событиями ИБ (SIEM).

8. Deception

Honeynet – Информационная сеть, состоящая из ряда honeypot, имеющая

централизованное управление и развернутая в рамках защищаемой ИС.
Цель – обеспечить централизованное управление и получение системных журналов с
honeypot, мониторинг ИС.
Недостаток – не активные хосты в сети.

Deception – централизованная система управления ложными сетевыми объектами –

ловушками (decoys).
Цель – обнаружение событий безопасности и протоколирование их.
Архитектура информационной сети с технологией Deception
1 уровень: Информационная сеть организации, обеспечивающая взаимодействие юзеров;
2 уровень: информационная сеть, состоящая из систем-
ловушек в составе 1 уровня.
Архитектура Deception
Агент – программа, которая устанавливается на
хосты пользователей или серверы. Она обеспечивает
взаимодействие с сервером Deception и контроль
запускаемых приложений.
Функции агента:
1) Сбор данных о состоянии хостов;
2) Эмуляция активности в сети;
3) Сбор информации о хосте (приложения, процессы и тд);
4) Сбор данных для форензики.
Форензика – наука о раскрытии преступлений, связанных с информацией,
представленной в электронном виде, об исследовании доказательств, методах
поиска и закрепления таких доказательств.
Сбор информации: белый список содержит приложения, разрешенные для использования
пользователем.
Приманка – объект, который размещается на хосте. Приманка содержит ссылку и
данные для доступа на ложный сетевой ресурс (данные для доступа к ловушке – логин и
тд)
Способы размещения приманок
1) С помощью агентов по команде с сервера управления;
2) С помощью «скриптов», запускаемых на хостах вручную.
Ложные пользователи – учетные записи должны соответствовать данным (формат,
пароль). Формируется ложная база пользователей.
Способы создания ложных пользователей:
1) По заданным вручную правилам (выбор определенного словаря имен, шаблона для
логина, правил генерации пароля);
2) Интеграция Deception с системой анализа трафика. Это даёт возможность
распознавать в сетевом трафике наличие данных для авторизации, находить в них
общие черты и генерировать пользователей, похожих на настоящих.

Обнаружение нарушителя с помощью ловушки Deception

1. Обнаружение подключения к ловушке или его сканирования (IP адрес, имя
пользователя и тд);
2. Контроль запускаемых приложений на ловушке;
3. Контроль открываемых файлов на ловушке (файл содержит логин и пароль
ложной учётной записи);
4. Контроль использования ложной учётной записи

Сервер управления – обеспечивает централизованное управление системой и

агрегацию информации для принятия решения специалистом.

9. Системы противодействия утечке данных

DLP (Data Loss Prevention) – система зи от внутренних угроз, представляющая

собой комплекс аппаратно-программных средств зи.
Функции DLP системы:
 1) Обнаружение и предотвращение утёчки информации;
2) Обнаружение конфиденциальной информации на ПК пользователей;
3) Обнаружение не рационального использования рабочего времени сотрудника.

Особенности применения DLP

1. Классификация информационных ресурсов и определение их мест размещения
(создание цифровых отпечатков наиболее значимых документов и тд);
2. Оптимизация количества протоколов для информационного обмена и
составления их перечня;
3. Доведение до сотрудников организации информации о использовании системы
с документальным оформлением их согласия по контролю, установка и
настройка системы в зависимости от выполняемой цели.
Виды перехвата информации
* Сетевой перехват (Network Sniffer) – управляемые сетевые коммутаторы
позволяют дублировать трафик от 1 или неск физических портов на отдельно взятый
физический порт – зеркалирование трафика.
Network sniffer: MailSniffer, IMSniffer, HTTPSniffer, FTPSniffer.
Недостатки: Достоинства:
1) Не возможен перехват TLS; 1) Не зависит от типа OS;
2) Малое число контролируемых 2) Не влияет на скорость передачи;
каналов (зависит от коммутатора). 3) Нет конфликтов с AVP.

* Перехват путём интеграции со сторонним ПО – ориентирован на работу прокси и

почтовыми серверами.
Взаимодействие с почтовым сервером
Настройка ящика для сбора почты;
Выемка писем;
Удаление содержимого ящика.

*Агентский перехват – агенты представляют собой сервисы/программы,

устанавливаемые на оборудование пользователя и, предназначенные для перехвата
информации и её передачи на сервер для анализа.
1. Перехват данных пользователя (внешние устройства; Логирование операций с файлами;
Файлы; Мгновенные сообщения; Электронная почта; Запись речи сотрудников и тд);
2. Перехват SSL/TLS;
3. Шифрование данных записываемых на USB Flash;
4. Запись перехваченных данных в базу;
5. Присвоение перехваченным документам атрибутов (дата, логин и тд);
6. Создание индексов и поиск по ним;
7. Хранение настроек и журналов событий в базе данных.
– +
 Доп нагрузка на сеть;  Контроль большого числа каналов;
 Агент дб установлен;  Перехват TLS;
 Каждой ОС свой агент  Блокирование трафика

Возможности по поиску информации

Полнотекстовый поиск – поиск по ключевым словам и словосочетаниям в тексте
перехваченных документов. Не учитывается порядок слов и их положение в документе.
Фразовый поиск – поиск по ключевым словам с учётом их положения др
относительно др;
Поиск похожих – поисковый запрос представляет собой целый текст, с которым
сравнивается каждый перехваченный документ.
Поиск по словарю – все документы в индексе проверяются на наличие в них
содержимого из указанного тематического словаря. Он позволяет отыскать документы,
относящиеся к определенной тематике.
Атрибутный поиск – поиск по атрибутам перехваченных документов, таким как
дата/время перехвата, имя пк, имя пользователя домена, IP/MAC-адрес и др.

10. Журналы событий

ИС – некоторая совокупность субъектов доступа и объектов доступа и их

отношение между ними.
Субъект доступа – активный компонент ИС, который может явиться причиной
потока информации от объекта к объекту или изменения состояния ИС.
Виды субъектов доступа
Пользователь – человек доступ которого к ИС приводит к запуску в ней некоторых
процессов;
Процесс – совокупность взаимосвязанных и взаимодействующих действий в
рамках ИС, преобразующих входные данные в выходные.

Объект доступа –пассивный компонент ИС, хранящий, принимающий или

передающий информацию.
Виды объектов доступа:
1) Файл;
2) Устройство (пк);
3) Канал связи;
Механизм управления доступом: реализует некоторую модель, определяющую правила
доступа к объектам ИС и правила обработки запросов доступа к ним.

Дискреционная модель управления доступом

1. Все субъекты и объекты ИС дб однозначно идентифицированы;
2. Правила доступа субъекта к объекту ИС определяется на основании матрицы
доступа
Матрица доступа: прямоугольная иатрица, в которой объекту
системы соответствует строка, а объекту – столбец. На пересечении
столбца и строки матрицы указывается тип разрешенного доступа
субъекта к объекту.

Виды прав доступа:

Чтение – позволяет открыть файл и ознакомиться с его содержанием (применимо к
текстовым и исолняемым файлам);
Запись – позволяет открыть файл и ознакмиться с его содержанием и изменить его
(применимо к текстовым и исполняемым файлам);
Исполнение – позволяет выолнить код, содержащийся в этом файле (применимо к
исполняемым файлам).
Формы представления матрицы доступа
Профиль – список защищаемых объектов системы и прав доступа к ним,
ассоциированный с каждым субъектом. То матрица доступа (МД) представляется своими
строками.
Список контроля доступа – представление МД по столбцам – каждому объекту
соответствует список субъектов вместе с их правами.
Мандат (билет) – элемент МД, определяющий тип доступа определенного субъекта к
определенному объекту. Каждый раз билет выдается субъекту динамически – при запросе
доступа, и так же динамически билет мб изъят у субъекта.

Функции ядра безопасности

Идентификация – процесс присвоения уникального идентификатора субъекту доступа, по
котороу он впоследствии будет опознан.
Аутентификация – процесс проверки подлинности субъекта доступа по его
идентификатору.
Авторизация – представление прав доступа субъекту доступа к информации,
обрабатываемой в ИС.
 Диспетчер доступа – идентифицирует субъекты, объекты и параметры
запрашиваемого доступа субъектом к объекту.

Виды журналов событий: централизованное хранение информации о событиях,

произошедших в процессе функционирования данного устройства.
1) Сетевое оборудование;
2) Операционные системы;
3) ПО.
Журнал приложений: 1. Содержит данные, относящиеся к работе приложений и служб;
2. Вносимые события определяются разработчиками
соответствующих приложений.
Журнал безопасности: 1. Содержит запись о событиях безопасности и относящихся к
использованию ресурсов; 2. Решение о внесении событий в журнал принимает
администратор.
Журнал системы: 1. Содержит записи о событиях драйверов устройств;
2. Решение о внесении событий в журнал принимает администратор.

Типы сообщений
Ошибка – событие указывает на существенные проблемы, обычно приводящие к потере
функциональности или данных;
Предупреждение – события указывают на проблемы, которые не требуют немедленного
вмешательства, но могут привести к ошибкам в будущем;
Сведения – события указывают на успешные действия приложением, службой или
драйвером;
Аудит успеха – событие, соответствующее успешно завершенному действию, вязанному с
поддержкой безопасности системы;
Аудит отказа – событие, соответствующее неудачно завершённому действию, связанному
с поддержкой безопасности системы.
Запись о событии включает в себя: тип, дату и время, источник, код
(идентификатор), категорию задачи.
Примеры идентификаторов:
1102: журнал событий был очищен.
4720: создана учетная запись пользователя;
4732: добавлен пользователь в локальную группу с включенной безопасностью.
Примеры событий в ОС требующих записи в журнал:
Вх/вых пользователей: успешный вход, неудачный вход, выход;
Изменения в уч записях: создание, разблокирование, изменение, блокирование, удаление;
Изменения пароля: для своей уч записи, для другой уч записи;
Запуск/остановка сервисов: запуск, остановка, сбой;
Отказ в доступе к объекту.
Power Shell: 1. Обнаружение (4732) 2. Расследование (1102, 4702).
Примеры событий на коммутационном оборудовании, требующих записи в журнал
Административный доступ: доступ пользователя, неудачная попытка входа, пользователь
заблокирован.
Изменения в учетных записях: добавление, удаление, повышение привилегий польз.
Блокировка/пропуск трафика: блокирование в соответствии с ACL, установление
соединений.

Система управления журналами (Log Management)

Lod Management – ПО, которое собирает, сортирует и хранит данные журналов и журналы
событий из различных источников в централизованном хранилище, а также получать к
ним доступ.
Архитектура Elastic Stack
Beat: анализирует состояние журнала событий и передает
журналы в Logstash;
Logstash: обеспечивает первичную обработку журналов
событий и записывает их в соответствующие индексы
(служат для хранения журналов с учётом их формата);
Elasticksearch: хранит журналы событий и обеспечивает
поиск информации по ним.
Kibana: обеспечивает отображение информации в виде
диаграмм, таблиц и тд.

11. SIEM

SIEM (Security Information and Event Management) – управление информационной

безопасностью и управление событиями безопасности.
 Мониторинг ИБ: цель (какое событие нужно найти), источник (где взять
информацию о нем), методы и средства (как получить эти сведения)
Средства мониторинга и модель OSI
Прикладной NNTP, DNS, FTP, Уровень 4: Сервис
HTTP прикладной
Уровень MIME
представления
Сеансовый SSL
Транспортный GRE, TCP, UDP Уровень 3: Сеть
транспортный
Сетевой IP, AppleTalk, Уровень 2: сетевой
DECnet
Канальный Ethernet, FDDI, Уровень 1:
802.11, ATM канальный
физический SONET, Twisted
pair, Coax

Собираемая информация средством мониторинга в зависимости от места установки:

• Сеть
Сбор информации о сетевом трафике.
Источник информации: IDS, ПО сбора данных протокола NetFlow, ПО сбора
данных протокола TCP, такие как Snort, и «сырые» данные tcpdump
• Хост
Сбор информации о процессах на хосте (вход/выход из системы, доступ к файлам)
СЗИ этого уровня может предоставить информацию, которую не даёт СЗИ сетевого
уровня (данные о фактическом доступе к определённому хосту или об использовании
внешних USB-устройств) Источники информации: IDS уровня хоста, журналы системы и
безопасности.
• Сервис
Информация формируется определёнными процессами, такими как журналы
серверов HTTP и SMTP.
Анализ полученной таким образом информации требует проверки на корректность
выполняемых действий сервисом в соответствии с его спецификацией (отправка
электронных писем, выполнение запросов HTTP и т.д.)

Примеры размещения средств мониторинга

 1) Сканирование HTTPS методом GET

2) SYN-сканирование (21 порт)

3) Сканирование HTTP серверов

(порты 80, 880)

Концепция SIEM
Цель: обнаружение инцидентов ИБ по предопределённым правилам за счёт анализа
событий безопасности, получаемых из системных журналов различных источников

Источники информации для SIEM:

– WEB сервисы: журналы событий почтовых серверов, веб-серверов, прокси серверов и
т.д. - позволяют обнаружить разведку;
– Системы аутентификации: позволяют анализировать использование идентификаторов
пользователей;
– БД: содержат информацию о транзакциях, пользователях ИС;
– DNS сервера: отслеживание присутствия нарушителя (на endpoint в пуле DHCP, при
использовании вредоносными программами алгоритма генерации доменов (DGA) для
уклонения от обнаружения);
– Endpoint СЗИ: анализ журналов СЗИ класса AVP (Anti-Virus Protection), EDR (Endpoint
Detection and Response) и т.д.;
– IDS/IPS: оповещение о происходящих событиях;
– ОС хостов пользователей: обнаружение первичного доступа и “бокового перемещения”
нарушителя;
– Межсетевые экраны: обнаружение изменений в правиласх фильтрации трафика
(настройка МСЭ).

Основные этапы обработки событий ИБ в SIEM:

● Агрегация – обобщение и концентрация в единой БД сообщений от разнородных
источников;
● Нормализация – преобразование сообщений по формату и содержанию к виду,
удобному для анализа;
● Анализ – обнаружение взаимосвязи (корреляции) событий на основе
предопределённых правил;
● Виртуализация и автоматизация – формирование отчётов и оповещений

Work flow в SIEM

Архитектура в SIEM:
● Коннектор (агент) – ПО, устанавливаемое на оборудование, с которого необходимо
скопировать содержимое системного журнала (лог файла);
● Компонент сбора событий – программно-технический комплекс, обеспечивающий
нормализацию информации, полученной из системных журналов, и её агрегацию в
БД;
● Компонент корреляции событий – программно-технический комплекс,
обеспечивающий корреляцию событий, выполняемую на основе
предопределённых правил;
● Компонент управления и анализа – программно-технический комплекс для
настройки, визуализации результатов анализа событий и оповещения об их
возникновении
Примеры SIEM:
– Alien Vault OSSIM; – Wazuh; – ArightSight; – KUMA (Kaspersky); – MaxPatro
(PositiveTechnology).

Методы корреляций:
– по правилам: создание правил, содержащих параметры условия. временного интервала и
реакции;
– эвристический: обнаружение событий по заданным шаблонам;
– нейронные сети: динамически адаптируется к изменяющейся среде.

Задачи и их решения.
Задача 1: реализовать контроль за повышением привилегий учётных записей на
хостах пользователей.
Решение: Правило корреляции отслеживает все случаи повышения привилегий, и если
учётная запись, запросившая повышение привилегий, отсутствует в табличном списке
допущенных – формируется сообщение об инциденте.
Задача 2: контролировать несанкционированное подключение ноутбуков к
сетевому оборудованию организации.
Решение: Реализован мониторинг МАС-адресов на портах сетевых устройств. В случае
добавления или удаления МАС-адреса формируется сообщение об инциденте
Задача 3: контролировать несанкционированное использование программ
удалённого доступа.
Решение: Сформирован список рабочих станций, к которых запрещено подключаться с
использованием программы, применяемой в компании для удалённой техподдержки. При
удалённом подключении к рабочим станциям из этого списка формируется сообщение об
инциденте.

Применение SIEM:
1) автоматизация мониторинга событий безопасности;
2) предоставление информации для проведения расследования;
3) проведение аудита ИБ;

12. Типы и записи событий ИБ, подлежащих регистрации

*Приказ Оперативно-аналитического центра при Президенте Республики Беларусь
№130 от 25.07.2023г.
События ИБ, подлежащие регистрации для операционных систем:
1) запуск и(или) остановка системы;
2) и(или) остановка процессов;
 3) подключение отчуждаемых носителей информации;
4) подключение иных периферийных устройств к портам ввода/вывода (мобильные
устройства, сетевые адаптеры, беспроводные модемы);
5) установка и удаление ПО, изменение компонентов ПО;
6) аутентификация (вход/выход) пользователей в ОС, успешные и неуспешные
попытки аутентификации;
7) использование привилегированных учётных записей пользователей;
8) создание, удаление, модификация учётных записей пользователей;
9) неудавшиеся или отменные действия пользователя и(или) процессы;
10) создание или изменение параметров заданий в планировщике задач;
11) установка, удаление, перезапуск, ошибка запуска службы и(или) сервиса;
12) изменение системной конфигурации, в т.ч. сетевых настроек, и средств
межсетевого экранирования;
13) изменение или попытки изменения настроек и средств управления защитной
системы, в т.ч. антивирусного ПО, систем обнаружения и предотвращения
вторжений;
14) контроль несанкционированных сетевых соединений, в т.ч. попыток
несанкционированного удалённого доступа, создания общих сетевых ресурсов,
использования нестандартных сетевых портов.

Запись события ИБ для ОС должна включать поля:

 дата и время возникновения события;
 наименование учётной записи пользователя, которым инициировано событие;
 IP-адрес хоста/устройства;
 описание события ИБ.

События ИБ, подлежащие регистрации для систем управление базами данных (СУБД):
1) контроль сессий (успешные/неуспешные попытки авторизации, регистрации
пользователей, попытки использования незарегистрированных учётных записей);
2) все действия пользователей, имеющих административные привилегии (включая
команды “select”, “create”, “alter”, “drop”, “truncate”, “rename”, “insert”, “update”,
“delete”, “call (execute)”, “lock”);
3) все действия пользователей, имеющих права на присвоение привилегий другим
пользователям (команды “grant”, “revoke”, “deny”).
Запись события ИБ для СУБД должна включать поля:
– дата и время возникновения события;
– наименование учётной записи пользователя, которым инициировано событие;
– IP-адрес хоста/устройства;
– IP-адрес источника;
– наименование устройства (при наличии);
– описание события ИБ.

События ИБ, подлежащие регистрации для телекоммуникационного оборудования:

 1) запуск и(или) остановка системы;
2) изменение системной конфигурации;
3) создание, удаление, модификация локальных учётных записей пользователей;
4) использование привилегированных учётных записей пользователей;
5) подключение и(или) отключение устройства ввода/вывода;
6) неудавшиеся или отменные действия пользователей;
7) включение, отключение, перезапуск сетевых интерфейсов.

Запись события ИБ для телекоммуникационного оборудования должна включать поля:

– дата и время возникновения события;
– наименование учётных записей пользователей;
– IP-адрес хоста/устройства;
– IP-адрес источника;
– IP-адрес назначения;
– описание события ИБ.

События ИБ, подлежащие регистрации для межсетевых экранов – запись информации о

всех сетевых соединениях.

Запись события ИБ для межсетевых экранов должна включать поля:

– дата и время возникновения события;
– IP-адрес источника;
– сетевой порт источника;
– IP-адрес назначения;
– сетевой порт назначения;
– тип (код) протокола;
– тип и код ICMP-пакета (пи наличии возможности).

События ИБ, подлежащие регистрации для прикладного ПО:

1) аутентификация (вход и(или) выход) пользователей, успешные/неуспешные
попытки аутентификации;
2) создание, копирование, перемещение, удаление, модификация учётных записей
пользователей и конфигурационных файлов;
3) неудавшиеся или отменённые действия пользователей;
4) действия пользователей (доступ к объекту (данным), изменения объекта (данных),
удаление объекта (данных).

Запись события ИБ для прикладного ПО должна включать поля:

– наименование источника события (сервис и(или) служба);
– наименования учётных записей пользователей;
– IP-адрес источника;
– IP-адрес хоста (устройств).

События, подлежащие регистрации для средств ЗИ:

 1) создание, копирование, перемещение, удаление, модификация учётных записей
пользователей и конфигурационных файлов;
2) запуск и(или) остановка службы;
3) изменение системной конфигурации;
4) создание, удаление, модификация учётных записей пользователей.

Запись события ИБ для средств ЗИ должна включать поля:

– наименование источника события (сервис и(или) служба);
– наименования учётных записей пользователей;
– IP-адрес источника;
– IP-адрес хоста (устройств);
– время начала и окончания операции;
– описание события ИБ.

13. Требования по кибербезопасности объектов информационной

инфраструктуры
*Приказ Оперативно-аналитического центра при Президенте Республики Беларусь
№130 от 25.07.2023г.

Кибербезопасность – состояние защищённости информационной инфраструктуры

и содержащейся в ней информации от внешних и внутренних угроз

Требования к объектам информационной инфраструктуры (ИИ):

1) использование технических, программно-аппаратных и программных средств, в
том числе средств ЗИ, размещённых на территории РБ;
2) применение средств защиты информации, прошедших подтверждение
соответствия требованиям технического регламента Республики Беларусь (ТР
2013/027/BY);
3) наличие структурной и логической схем объектов информационной
инфраструктуры, поддержание таких схем в актуальном состоянии;
4) определение порядка генерации и смены идентификационных и
аутентификационных данных пользователей (паролей), обновления программного
обеспечения, в том числе к средствам защиты информации;
5) изменение установленных по умолчанию идентификационных и
аутентификационных данных (реквизитов доступа) к объектам информационной
инфраструктуры, в том числе к средствам защиты информации, либо блокирование
возможности их использования;
6) использование модели управления доступом (разграничения доступа) к объектам
информационной инфраструктуры, в том числе к средствам защиты информации;
 7) идентификация и аутентификация пользователей, своевременное блокирование
(удаление) неиспользуемых идентификационных данных пользователей;
8) регламентированный доступ к настройкам (администрированию) объектов
информационной инфраструктуры, в том числе средств защиты информации;
9) синхронизация системного времени от единого (общего) источника;
10) межсетевое экранирование при внешнем информационном взаимодействии по
портам протоколов сетевого и транспортного уровней;
11) обнаружение и предотвращение вторжений при внешнем информационном
взаимодействии;
12) защита от воздействия вредоносных программ;
13) централизованный сбор сведений о событиях информационной безопасности, а
также хранение такой информации не менее одного года.

14. Национальная система обеспечения кибербезопасности Республики

Беларусь
*Указ Президента РБ №40 от 14.02.2023 г.

Киберинцидент – событие, которое фактически или потенциально угрожает

конфиденциальности, целостности, подлинности, доступности и сохранности
информации, а также представляет собой нарушение (или угрозу нарушения) политик
безопасности.

Элементы системы:
● ОАЦ при Президенте РБ
– координирует деятельность других гос.органов и организаций по созданию и
функционированию национальной системы кибербезопасности (КБ);
● Национальный центр кибербезопасности
– (создан на базе ОАЦ) обеспечивает деятельность по противодействию кибератакам (КА)
и реагированию на киберинциденты;
● Авторизованный оператор электростали
– обеспечивает взаимодействие Национального центра кибербезопасности (НЦКБ),
центров кибербезопасности (ЦКБ), а также государственных органов и других
организаций;
● Объекты ИИ
– КВОИ, информационные сети, информационные системы, информационные ресурсы и
иные совокупности технических средств, систем и технологий создания, преобразования,
передачи, использования и хранения информации;
● Сеть передачи данных
– обеспечивает взаимодействие НЦКБ и объектов ИИ.

Функции НЦКБ
1) Осуществляет сбор, обработку, анализ и обобщение информации, поступающей из ЦКБ,
формирование и ведение общереспубликанской БД о КИ;
2) Координирует и реализует мероприятия по выявлению, предупреждению и исследованию
КА и вызванных ими КИ на объектах ИИ, реагированию на такие КИ;
3) Осуществляет автоматизированных сбор, обработку, накопление, систематизацию и
хранение данных о КБ объектов ИИ, направленные на обнаружение, предотвращение и
минимизацию последствий КА и вызванных ими КИ на указанных объектах, реагирование
на такие КИ;
4) Оказывает методическую и практическую помощь государственным органам и иным
организациям в вопросах обеспечения КБ принадлежащих им объектов КИ;
5) Проводит учения по действиям при возникновении КИ на объектах ИИ, разрабатывает
программы и методики проведения этих учений, сценарии реагирования на КА;
6) Организует проведение аналитических и научных исследований в области обеспечения
КБ, при необходимости распространяет результаты таких исследований, в т.ч. в средствах
массовой информации.

Функции ЦКБ
1) Осуществляет автоматизированных сбор, обработку, накопление, систематизацию и
хранение данных о КБ объектов ИИ, направленные на обнаружение, предотвращение и
минимизацию последствий КА, а также мероприятия по выявлению, предупреждению и
исследованию КА и вызванных ими КИ на объектах ИИ, реагированию на такие КИ;
2) Проводят оценку степени защищённости объектов ИИ, мероприятия по установлению
причин КИ, вызванных КА на объекты ИИ;
3) Осуществляет сбор, обработку, анализ и обобщение информации о состоянии КБ на
объектах ИИ;
4) Информируют НЦКБ о выявленных КИ не позднее одного часа с момента их выявления, а
также предоставляют иные сведения, в т.ч. о результатах реагирования и ликвидации
последствий КИ в порядке, объёме и сроки, определяемые ОАЦ;
5) Обеспечивают функционирование в своём составе команд реагирования на КИ.

15. Центр кибербезопасности (ЦКБ)

*Приказ ОАЦ №130

Структура ЦКБ
Руководитель – организует и контролирует проведение мероприятий по
противодействию КА и расследованию КИ, обеспечивает управление ЦКБ.
Лицо, обеспечивающее сбор информации о КИ – обеспечивает информационное
взаимодействие с НЦКБ, определяет уровень КИ (высокий/низкий), осуществляет сбор
технических параметров КИ, координирует деятельность команды по реагированию на
КИ.
Лицо, выполняющее функции по администрированию, АС взаимодействия –
выявление и анализ событий ИБ, администрирование и настройку автоматизированной
системы взаимодействия, участие в разработке и ведение базы правил корреляции
событий ИБ. Член команды реагирования на КИ – реагирование на КИ, поддержка при
реагировании на КИ, администрирование технических, программно-аппаратных,
программных средств, в т.ч. СЗИ.
Лицо, ответственное за обеспечение КБ – анализ и обобщение информации о
состоянии КБ на объектах ИИ, оценку эффективности защищённости объектов ИИ на
предмет соответствия требованиям по КБ.
 Лицо, выполняющее функции по анализу ВП – анализ данных о КИ с применением
методов форензики и реверс-инжиниринга, установление причин возникновения КИ с
использованием ВП.
Лицо, выполняющее функции по оценке защищённости объектов ИИ –
(тестирование на проникновение) оценку эффективности защищённости объектов ИИ и
ЦКБ на предмет наличия уязвимости, проверку возможностей их эксплуатации,
моделирование КА на объекты ИИ.

Техническое оснащение ЦКБ

1) SIEM, платформа управления информацией об угрозах (Threat Intelligence Platform),
«песочница», автоматизированная система взаимодействия.
2) Средства аудита ИБ и оценки эффективности защищённости (средств тестирования на
проникновение) (сетевой сканер; сканер уязвимостей; сканер уязвимостей веб-
приложений).
3) СЗИ, имеющие сертификат соответствия Национальной системы подтверждения
соответствия Республики Беларусь.

Основные требования к ЦКБ

1) аттестованная система ЗИ класса 3-юл;
2) бесперебойное функционирование и восстановление работоспособности
автоматизированной системы взаимодействия;
3) доступ к настройкам автоматизированной системы взаимодействия из доверенного
сетевого сегмента;
4) резервное копирование изменений конфигурационных файлов технических, программно-
аппаратных и программных средств, в т.ч. СрЗИ (хранение не менее одного года);
5) контроль за соответствием состава технических, программно-аппаратных и программных
средств, в т.ч. СрЗИ фактическому составу таких средств, контроль версий ПО;
6) синхронизацию системного времени от единого (общего) источника;
7) обновление технических, программно-аппаратных и программных средств, в т.ч. СрЗИ в
течение месяца после выхода такого обновления;
8) централизованные сбор, обработку, накопление, систематизацию сведений о событиях ИБ
и их хранение не менее одного года;
9) автоматизированные сбор, обработку, накопление, систематизацию и хранение сведений о
событиях ИБ и данных о КИ, поступающих от объектов ИИ, в круглосуточном режиме;
10) ежегодное планирование и проведение мероприятий по контролю эффективности
защищённости системы ЗИ автоматизированной системы взаимодействия, а также
объектов ИИ;

16. Уровни киберинцидентов и технический состав их параметров

Киберинцидент (КИ) – событие, которое фактически или потенциально угрожает

конфиденциальности, целостности, подлинности, доступности, сохранности информации,
а также представляет собой нарушение (угрозу нарушения) политик безопасности.
Приказ ОАЦ №130

КИ высокого уровня:
1 Внедрение функционирование ВП на объектах ИИ;
2 НСД к объектам ИИ с использованием ИКТ;
3 Использование объектов ИИ для осуществления КА и(или) распространения ВП;
4 Прослушивание, захват, перенаправление сетевого трафика объектов ИИ;
5 Рассылка незапрашиваемой информации(спама) с объектов ИИ;
6 Эксплуатация уязвимостей на объектах ИИ;
7 Прекращение функционирования объектов ИИ, вызывание КА типа «отказ в
обслуживании»;

КИ низкого уровня:
1 Попытка внедрения ВП на объектах ИИ;
2 Проведение КА типа «отказ в обслуживании», направленной на объекты ИИ, не
вызвавшей негативных последствий;
3 Попытка эксплуатации уязвимостей на объектах ИИ;
4 Сканирование объектов ИИ в целях поиска уязвимостей;
5 Попытка НСД к объектам ИИ;
6 Прекращение функционирования объектов ИИ, не связанное с КИ высокого уровня;
7 Попытка использования объектов ИИ для распространения ВП;
8 Попытка проведения КА на веб-приложения и иные сетевые протоколы и службы;
9 Использование вычислительных мощностей объектов ИИ для проведения КА.

Технические параметры КИ:

1 Уровень КИ и его наименование;
2 Сетевые (IP) адреса версий 4 и (или) 6, подсети адресов объектов ИИ (при наличии);
3 Доменные имена, связанные с объектами ИИ (при наличии);
4 Уникальный идентификатор КИ;
5 Адреса электронной почты, URL-адреса объектов ИИ (при наличии);
6 Сетевые (IP) адреса версий 4 и (или) 6, подсети адресов источников КИ (при наличии);
7 Доменные имена, связанные с источниками КИ (при наличии);
8 Адреса электронной почты, URL-адреса, связанные с источниками КИ (при наличии);
9 ВП (при наличии);
10 Идентификатор уязвимости с указанием системы классификации уязвимостей (при
наличии);
11 Типы операционных систем, установленных на объектах ИИ;
12 Дополнительные сведения, связанные с КИ (при наличии);

17. Программно-технические средства для обнаружения кибератак

Назначение: обнаружение и изучение индикаторов компрометации (loC) хостов для

противодействия КА.

1. Endpoint Detection & Response (EDR) - регистрация системных событий на хостах

(Endpoint), выявление и блокирование подозрительных приложений в системе, устранение
последствия компрометации

Основные функции EDR

1) Сбор информации с устройств endpoint уровня и ее хранение для расследования
инцидентов;
2) Обнаружение и ранжирование инцидентов;
3) Обнаружение вредоносных программ и процессов;

Архитектура EDR Comodo Cybersecurity (open source):

Ядро – базовый фреймворк (программная платформа для объединения различных
модулей), который является ядром системы.
Агент – программный модуль, устанавливаемый на хост и обеспечивающий сбор
информации с него.
Монитор процессов – компоненты для мониторинга процессов.
Системный монитор – контейнер для различных компонентов режима ядра.
Монитор сети – компонент мониторинга сетевой активности

Архитектура системного монитора:

Внедряемая библиотека – динамическая библиотека (DLL), которая внедряется в
различные процессы и перехватывает вызовы API.
Загрузчик – компонент драйвера, который загружает внедряемую библиотеку в каждый
новый процесс.
Контроллер – служебный компонент для взаимодействия с внедряемой библиотекой.

Архитектура монитора процессов:

Фильтр файловой системы – компонент ядра, который перехватывает запросы ввода-
вывода файловой системы.
Компонент мониторинга процессов – отслеживает создание / удаление процессов с
помощью обратных системных вызовов.
Компонент мониторинга реестра – контролирует доступ к реестру с помощью
обратных системных вызовов.
Провайдер самозащиты – предотвращает несанкционированные изменения компонентов
и конфигурации EDR.

EXtended EDR (XDR) – обеспечивает сбор и хранение информации с конечных точек, а

также интегрируется с внешними средствами системами (Sandbox, Threat Intelligence
Platform, SIEM) снижения false positive.

2. User and Entity Behavioral Analytics (UEBA) – сбор данных о действиях

пользователей, построение с помощью алгоритмов машинного обучения моделей их
поведения и выявления на их основе аномалий.

Функции системы UEBA:

1) Прикладная аналитика данных из различных источников, как статистическая, так и
расширенная, с использованием методов машинного обучения;
2) Идентификация кибератак, большинство из которых не определяются классическими
средствами ЗИ;
3) Приоритизация событий, консолидированных из разных источников (SIEM, DLP, AD и
т.д.), для оперативного реагирования со стороны специалистов по ИБ;
4) Реакция на события за счет предоставления специалистам по ИБ расширенной
информации об киберинциденте, включающей все объекты ИИ, которые были вовлечены
в аномальную активность.

Задачи, решаемые с помощью систем UEBA:

1) Обнаружение скомпрометированных учетных записей пользователей и рабочих
станций по индикаторам компрометации (loC).
2) Обнаружение и предотвращение угроз исходящих от сотрудников организации на
основании информации из системных журналов, содержания сообщений корпоративной
почты, мессенджеров и т.д.
3) Мониторинг сотрудников и их прав доступа на основании событий, включающих
информацию об объектах, к которым был предоставлен доступ и правах субъектов
доступа.

Network Traffic Analysis (NTA) – обеспечивает обнаружение нарушителя на

основе анализа сетевого трафика методами динамического и сигнатурного анализа,
машинного обучения, обнаружения аномалий(Kaspersky Anti Target Attack, PD NAD и тд).
Анализ сетевого трафика

Анализ пакетов:
1) SPI (Поверхностный анализ пакетов) – анализ исключительно заголовков пакета
уровней L2-L4 модели OSI;
2) MPI (Средний анализ пакетов) – анализ сессий и сеансов связи, инициированных
приложением, но установленный шлюзом-посредником;
3) DPI (Глубокий анализ пакетов – анализ содержимого пакетов и их косвенных
признаков, присущих определенным программам и протоколам;
4) DCI (Глубокий анализ содержимого) – анализ передаваемой информации (файлов,
объектов), включая метаданные;
 Метаданные – информация относящаяся к дополнительным сведениям (признаки
и свойства, характеризующие какие либо сущности, позволяющие автоматически искать и
управлять данными в больших информационных потоках).

Функции NTA:
1) Анализ трафика как на периметре сети, так и внутри инфраструктуры;
2) Выявление атак с помощью комбинации технологий обнаружения;
3) Помощь в расследовании инцидентов.

Архитектура NTA:
1) Сетевой сенсор, который собирает «сырой» трафик;
2) Сервера централизованного управления и анализа собранного трафика;
3) Консоль мониторинга (дашборд) и управления- визуализация результатов работы
системы и настройка.

Примеры использования средств мониторинга:

Задача 1: Нарушитель использует известные утилиты, вредоносные программы,
известные уязвимости:
Противодействие: IDS правила;
Техническая реализация: модули IDS в NGFW или UTM.
Задача 2: нарушитель использует легитимные средства удаленного управления
(UltraVnc, TeamViewer, Radmin):
Противодействие: Application Control;
Техническая реализация: модули Application Control в NGFW или UTM;

Задача 3: нарушитель использует протоколы управления RDP, SSH

Противодействие: профилирование сетевой активности с использованием статических
алгоритмов:
Техническая реализация: события c NGFW или UTM в SIEM и «ручное профилирование»,
UEBA;

Задача 4: нарушитель использует модифицированный (противодействие

сигнатурному анализу) или неизвестный ранее «инструментарий»
Противодействие: профилирование сетевой активности с использованием статических
алгоритмов, применение неточных алгоритмов определения «схожести» трафика;
Техническая реализация: NTA.

18. Реагирование на киберинцидент

Цель – минимизация ущерба, восстановление исходного состояния ИС и

разработка плана по недопущению подобных киберинцидентов в будущем.
Указ Президента Республики Беларусь № 40 от 14.02.2023

Этапы реагирования:
–> Подготовка –> Обнаружение <–> Сдерживание –> Удаление –> Восстановление –>
Выводы –>
Подготовка – реализация организационно-технических мероприятий по поддержанию
уровня безопасности ИС.
1. Создание системы ЗИ;
2. Обучение специалистов по ИБ реагированию на инциденты;
3. Обучение пользователей ИС;
4. Разработать процедур реагирования
Обнаружение – специалисты по реагированию на инциденты ИБ, должны определить,
является ли обнаруженное ими с помощью различных систем обеспечения ИБ событие
КИ или нет.
Индикаторы компрометации (IoC) – наблюдаемая в сети или на хосте аномалия,
которая с большей долей вероятности указывает на НСД к системе (ее компрометацию).
Пирамида Дэвида Бьянко (IoC): чем выше к вершине IoC, тем сложнее нарушителю его
изменить.

Данные киберразведдки: 1. Повышение осведомленности об угрозах для

адекватного выбора контрмер; 2. Повышения эффективности обнаружения КА и
реагирования на КИ.
Threat Intelligence Platform (TI платформа) – программно-технический комплекс,
позволяющий агрегировать данные киберразведки (ТІ-признаки) от поставщиков и их
использовать для анализа угроз ИБ и настройки средств ЗИ.
Сдерживание – необходимо идентифицировать скомпрометированные хосты и настроить
правила фильтрации так, чтобы атака не распространилась дальше по сети. Необходимо
перенастроить сеть так, чтобы ИС компании могла продолжать работать без
компрометированных хостов.
Удаление – необходимо привести скомпрометированную ИС в состояние, в котором она
была до КА (удаление вредоносного ПО и артефакты, появившиеся в процессе КА (уч.
записи, ПО)).
Восстановления – ранее скомпрометированные хосты вводятся в сеть. При этом
специалисты по ИБ, некоторое время продолжают наблюдать за состоянием этих хостов и
ИС, чтобы убедиться в полном устранении угрозы.
Выводы – анализ КИ, внесение необходимых изменений в конфигурацию ПО и
оборудования, обеспечивающего ИБ, и формирование рекомендаций для того, чтобы в
будущем предотвратить подобные КИ. Корректировка инструкций по реагированию.

Создание инструкций о реагированию на КИ (incidensresponse.com / github / atc-

project.github.io)
SOAR (Security Orchestration Automation and Response): программно-технический
комплекс, позволяющий обеспечить сбор данных о событиях ИБ из различных
источников, обрабатывать их, дополнить данными киберразведки и автоматизировать
типовые сценарии реагирования на КИ.

Функции SOAR:
1) Агрегирование и обработка событий ИБ из различных источников (SIEM, DLP,
AVP, UEBA, FW, AD)
2) Дополнение информации об КИ данными из внешних баз, записей об аналогичных
событиях и других источников;
3) Оценка состояния инфраструктуры, выделение.
4) Выполнение предопределенных действий (сценариев), необходимых для
устранения угрозы или минимизации ее последствий.
5) Предоставление информации об КИ.
Расследование КИ:
1. Определить начальный вектор КА (Mitre attack);
2. ПО, которое было использовании в процессе КА;
3. Системы, которые были затронуты в процессе КА;
4. Размер ущерба;
5. Определить достиг ли нарушитель цели;
6. Временные рамки атаки.