Продлённая аутентификация позволяет избавиться от недостатков, присущих статической аутентификации, например, идентификаторы могут быть потеряны или забыты, пользователь совершает только первоначальный вход в систему, что может быть опасно не только для областей, требующих обеспечения высокого уровня безопасности, но и для обычного офиса. Динамическая проверка пользователя во время всего сеанса работы может повысить безопасность системы, поскольку во время работы пользователь может подвергнуться воздействию со стороны злоумышленника (например, быть атакованным) или намеренно передать ему права. В таком случае оперировать машиной будет не пользователь, который выполнил первоначальный вход. Классификация пользователей во время работы системы позволит ограничить доступ к важным данным, которые могут быть получены злоумышленником. Во время исследования были изучены методы и наборы данных, использующихся для продлённой аутентификации. Затем был сделан выбор наборов данных, которые использовались в дальнейшем исследовании: данные о движении смартфона и смарт-часов (WISDM) и динамике активности мыши (Chao Shen’s, DFL, Balabit). Помочь улучшить результаты работы моделей при классификации может предварительный отбор признаков, например, через оценивание их информативности. Уменьшение размерности признаков позволяет снизить требования к устройствам, которые будут использоваться при их обработке, повысить объём перебора значений параметров классификаторов при одинаковых временных затратах, тем самым потенциально повысить долю правильных ответов при классификации за счёт более полного перебора параметров значений. Для оценивания информативности использовались метод Шеннона, а также алгоритмы, встроенные в программы для анализа данных и машинного обучения (WEKA: Machine Learning Software и RapidMiner). В ходе исследования были выполнены расчёты информативности каждого признака в выбранных для исследования наборах данных, затем с помощью RapidMiner были проведены эксперименты по классификации пользователей с последовательным уменьшением количества используемых при классификации признаков с шагом в 20%. В результате была сформирована таблица с рекомендуемыми наборами признаков для каждого набора данных, а также построены графики зависимостей точности и времени работы различных моделей от количества используемых при классификации признаков.
В последнее время предпринимались различные попытки охарактеризовать угрозы информационной безопасности, особенно в промышленном секторе. Тем не менее, существует ряд загадочных угроз, которые могут поставить под угрозу безопасность данных, информации и ресурсов пищевой промышленности. Целью данного исследования было изучение рисков для информационной безопасности в информационной системе пищевой промышленности, а участниками этого исследования были эксперты исполнительного руководства, штатный персонал, технические и активные операторы, сторонние консалтинговые компании и управление рисками, специалисты пищевой промышленности в информационной системе стран Африки к югу от Сахары. Анкета и интервью с различными вопросами с использованием подходов качественного и количественного анализа рисков были использованы для сбора идентификаций рисков, а также метод системы нечётких выводов, приманенный для анализа фактора риска в этой статье. Выводы показали, что среди проблем информационной безопасности электронные данные в угрозе кражи данных имеют высокий риск 75,67%, а управление человеческими ресурсами (HRM) в угрозе социальной инженерии имеет низкий риск воздействия 26,67%. В результате факторы риска с высокой вероятностью требуют оперативных действий. Компоненты риска с высокой вероятностью требуют быстрых корректирующих действий. В результате необходимо выявить и контролировать первопричины таких угроз до того, как возникнут пагубные последствия. Также важно отметить, что при изучении информационной безопасности в промышленных информационных системах пищевой промышленности необходимо принимать во внимание основные интересы и глобальную политику.
Представляются анализ и систематизация современных исследований в области обеспечения информационной безопасности киберфизических систем. Рассматриваются проблемные вопросы, связанные с информационной безопасностью подобных систем: «Что атакуют?», «Кто атакует?», «Почему атакуют?», «Как атакуют?» и «Как защититься?». В качестве ответа на первый вопрос даются определение и классификация киберфизических систем по таким атрибутам этих систем, как сложность, связность, критичность и социальный аспект. В качестве ответа на второй и третий вопросы предлагается классификация атакующих по таким атрибутам, как тип доступа, способ доступа, намерения, знания и ресурсы. В качестве ответа на четвертый вопрос рассматривается классификация атакующих действий по таким атрибутам, как субъект и объект, способ воздействия, предпосылки и последствия. В качестве ответа на пятый вопрос предлагается классификация методов и средств защиты по таким атрибутам, как принцип работы, объект защиты и решаемая задача. Научная значимость статьи заключается в систематизации современного состояния исследований в предметной области. Практическая значимость статьи заключается в предоставлении информации о проблемных вопросах безопасности, которые характерны для киберфизических систем, что позволит учитывать их при разработке, администрировании и использовании таких систем.
Предприятия для управления производством и передачи данных между подразделениями используют сетевые технологии. К преимуществам этих технологий можно отнести оперативность и возможность автоматизации операционных процессов, однако в то же время увеличивается риск сетевых атак на автоматизированные системы управления. Следовательно, возникает необходимость в разработке автоматических средств мониторинга, позволяющих обнаружить несанкционированное воздействие и оперативно отреагировать на него. Система информационной безопасности предприятия должна реализовывать процессы взаимодействия компонентов и самовосстановления на протяжении всего жизненного цикла.
Предложены частные модели функционирования автоматизированных систем управления предприятием в условиях информационных угроз, учитывающие параметры состояний предприятия на разных уровнях, реализацию сетевых угроз, управляющие воздействия и так далее. Для каждой модели формируется пространство состояний предприятия и на основании проведенных испытаний определяются параметры переходов, что дает возможность представить модель в виде размеченного графа. Последовательности состояний также допускают возможность моделирования с помощью аппарата полумарковских процессов. Вероятности переходов определяются при численном решении соответствующей системы интегральных уравнений методом Лапласа – Стилтьеса.
В серии экспериментов рассмотрен процесс передачи данных как в штатном режиме функционирования, так и в условиях атаки сканирования сети. Продемонстрировано применение аппарата полумарковских процессов для выявления несанкционированной активности и создания эффективного перечня мероприятий по обеспечению безопасности. На основе вычисленных значений вероятностей переходов состояний возможно построение интегрального показателя безопасности, что способствует повышению эффективности работы предприятия.
Приводится анализ известных методов обеспечения информационной безопасности, рассматриваются методы оценивания безопасности как отдельных ИТ-компонент, так и облачных сервисов в целом.
Предпринята попытка проанализировать облачные сервисы не с позиции коммерчески успешного и популярного маркетингового продукта, а с позиции системного анализа. Введенный ранее порядок оценивания ИТ-компонент нестабилен, поскольку у конечного пользователя нет 100% гарантии доступа ко всем ИТ-компонентам, а тем более к компонентам удаленного и неподконтрольного облачного сервиса. В ряде обзоров отмечается рост усилий по созданию сетевой безопасной архитектуры и по обеспечению непрерывного контроля отклонений от установленных бизнес-целей. В отличие от моделей Zero Trust и Zero Trust eXtended, согласно которым на существующие ИТ-компоненты накладываются дополнительные функции безопасности, предлагается рассматривать совокупность ИТ-компонент как новую сущность – систему обработки информации. Это позволит перейти к формальным процессам оценивания степени соответствия по критериям стандартов как для существующих, так и для перспективных ИТ-компонент при обеспечении безопасности облачных сервисов.
Предложен новый метод оценивания на базе ранее разработанной гибридной методики с использованием формальных процедур, основанных на двух системах критериев – оценивании степени соответствия систем менеджмента (на базе ИСО/МЭК серии 27001) и оценивании требований функциональной безопасности (на базе МЭК серии 61508 и ИСО/МЭК серии 15408). Этот метод дает воспроизводимые и объективные оценки рисков безопасности облачных ИТ-компонент, которые могут быть предъявлены для проверки независимой группе оценщиков. Полученные результаты возможно применить для защиты объектов критической информационной инфраструктуры
Рассматривается проблема безопасности Интернета вещей (Internet of Things), которая не относится к традиционной проблеме кибербезопасности, так как представляет собой локальный или распределенный мониторинг и/или контроль состояния физических систем, подключенных через Интернет. Предыдущее исследование авторов рассматривало архитектуру системы диспетчерского контроля и сбора данных (SCADA). Благодаря внедрению систем SCADA, были проанализированы уязвимости и различные варианты кибератак на них. В качестве исследовательского примера было рассмотрено тематическое исследование, основанное на деревьях, результаты которого были обобщены и визуализированы.
Цель настоящей статьи – сравнить новую индустриальную технологию Интернета вещей (промышленный Интернет вещей, Industrial Internet of Things) с ранее исследованными традиционными системами SCADA.
Промышленный Интернет вещей (Industrial Internet of Things) – это сеть устройств, которые связаны между собой с помощью коммуникационных технологий. В настоящей статье представлены некоторые из наиболее распространенных проблем безопасности устройств промышленного Интернета вещей.
Представлен краткий обзор структуры промышленного Интернета вещей, описываются основные принципы безопасности и основные проблемы, которые могут возникать с устройствами Интернета вещей. Основываясь на исследованиях и анализе риска угроз в области промышленного Интернета вещей, в качестве главного подхода рассмотрен конкретный случай деструктивного воздействия, основанный на древовидном анализе. Дается описание создания значений каждого конечного узла дерева атак, а также приводится анализ полученных результатов. Анализ сценария изменения электронной записи был выполнен для увеличения скорости инфузионного насоса с использованием индекса сложности. Последствия были сравнены с предыдущим исследованием систем SCADA и представлены результаты и выводы.
Анализируется текущее состояние в области защиты от ложной информации в компьютерных сетях и формулируются актуальные проблемы, связанные с этой защитой. Предлагается подход к оценке мероприятий защиты от такой информации на основе использования марковской модели дезинформирования. Раскрывается архитектура перспективной системы анализа информации в компьютерных сетях по требованиям достоверности. В рамках этой архитектуры рассматриваются усовершенствованные методы анализа достоверности текстов. Предлагается комплексный подход к использованию известных и предложенных методов для оперативного выявления ложной информации в компьютерных сетях. Кроме того, метод может применяться в области борьбы с киберпреступностью и терроризмом для поиска сетевых ресурсов и коммуникационных площадок, которые могут быть использованы для организации противоправной деятельности.
Применение интегрированных систем менеджмента (ИСМ) в настоящее время привлекает внимание высшего руководства самых разных организаций: нефтеперерабатывающих, приборостроительных, авиационных и оборонных. Однако, на данный момент остается важной проблемой выполнение аудита в ИСМ — реализация в полном объеме комплекса проверок различных стандартов ISO при ограничении или существенном сокращении доступных ресурсов.
В то же время постоянное совершенствование принципов управления, и в частности переход к мышлению, основанному на рисках, обеспечивают повышение интереса к рациональному применению стандартов ISO. В данном исследовании предлагается методика оптимизации программы аудита ИСМ, основанная на принципах непрерывной адаптации при поступлении данных в течение одного микроцикла аудита. Дополнительным преимуществом данной методики является применение численных метрик аудита информационной безопасности, способствующих постоянному повышению уровня обеспечения информационной безопасности организаций.
В настоящей работе предложена формальная модель индивидуального и группового поведения на основе применения p-адической системы координат, позволяющая осуществлять описание и прогнозирование поведенческих реакций персонала критически важных объектов в условиях внешних деструктивных информационных воздействий.
В данной публикации кратко рассмотрена проблема формирования концепции мгновенных аудитов информационной безопасности (ИБ), направленной, в т.ч. на обеспечение защиты от угроз «нулевого дня» (“zero-day”). Отмечается, что эффективное противодействие угрозам «нулевого дня» относится к типу проактивной защиты, реализующей комплекс активных упреждающих мер ИБ, но не ограниваясь только постоянным внедрением все новых и новых технических средств. Ключевой особенностью концепции мгновенных аудитов ИБ является формирование оценки как предела слева уровня защищенности в процессе выполнения аудитов ИБ. Методической базой концепции мгновенных аудитов является семейство стандартов ISO серии 27001, дополненное множеством (расширяемым) метрик ИБ для формирования количественной оценки уровня защищенности объекта. Полученные результаты могут найти применение при создании моделей и методов обеспечения аудитов ИБ и непрерывного состояния защищенности объектов, находящихся под воздействием угроз нарушения ИБ.
В статье рассматривается проблема выбора алгоритмов и структур данных для эффективной обработки событий, производимых системами обнаружения вторжений. Предложен подход к выполнению операций добавления и поиска записей с использованием сбалансированных бинарных деревьев. Приведено теоретическое и экспериментальное подтверждение эффективности разработанного подхода.
Рассматривается задача обоснования целесообразных мероприятий информационной безопасности социально важных объектов. Для ее решения предлагается усовершенствованный метод, ориентированный на более гибкий учет особенностей текущих ситуаций. Предложен ряд новых марковских моделей защищаемых процессов и возможных угроз применительно к структурам Пенсионного фонда. Приведены результаты моделирования.
Рассматриваются принципы оценивания эффективности действий нарушителя в критической инфраструктуре. Представлен «операционный комплекс» моделирования процессов нарушения информационной безопасности. Исследованы неопределенности процесса моделирования нарушителя и пути их устранения. Разработана математическая модель агрегированного показателя эффективности действий нарушителя, которая снимает ряд ограничений существующих вероятностных моделей случайных явлений в области информационной безопасности. Модель носит название стохастического супериндикатора и предназначена для исследования конфликтных ситуаций в критической инфраструктуре.
Для сложных промышленных объектов обеспечение комплексной безопасности является крайне важной проблемой и особо актуальной для современных аэропортовых комплексов (АК). Особенностями АК являются учет значительного множества требований: авиационной безопасности (АБ), безопасности персонала, сохранности воздушных судов (ВС), а также инженерной инфраструктуры. Для обеспечения безопасного функционирования АК применяются комплексные системы управления, в состав которых входят системы менеджмента (СМ), соответствующие различным стандартам, в т.ч. международным (ISAGO, ISO, ISO/IEC и пр.). Оценка результативности таких СМ представляет известную проблему. Поставленную задачу представляется целесообразным рассмотреть на основе модели ИСМ, дополненной блоком проведения комплексных аудитов с учетом специфики АБ. В публикации приведены результаты расчетов по представленной модели ИСМ с учетом расширенного состава критериев для АК. По согласованному мнению экспертов, требования «базовых» стандартов ISO значительно уступают по приоритету «профильным» для АК требованиям ISAGO (IATA).
В настоящее время для информационных систем (ИС) наблюдается значительное количество критичных угроз, что обусловлено появлением новых векторов атак, а также недостатками при управлении рисками. Соответственно, представляет определенный интерес изучение проблемы оценки компетенции ИБ при сопровождении ИС на уровне сервис-провайдеров. В предлагаемой работе предложена формулировка «Парадокса ИБ», которые позволяет учесть наиболее значимые (критичные) угрозы ИБ и предложить подход, основанный на использовании современных риск-ориентированных стандартов, прежде всего международных стандартах ISO. Предложенная концепция оценки уровня ИБ сервис-провайдеров ИС для промышленных объектов состоит из 2-х базовых принципов и нескольких расширений, которые позволяют учесть конкретные требования по ИБ с учетом специфики функционирования ИС и предоставляют возможность оценки (качественно или количественно) в рамках плановых проверок (аудитов).
В статье рассматриваются концептуальные вопросы, определяющие состояние информационной безопасности государства и региона. Предлагается подход к формированию функций защиты и функций состояния безопасности на региональном уровне. Описываются различные требования к обеспечению требуемого уровня информационной безопасности. Приводятся сведения по подготовке кадров в области информационной безопасности в Сибирском и Дальневосточном федеральном округах.
Процесс проектирования, создания и внедрения современных систем менеджмента является, на данном этапе развития общества, объективно, вопросом не технического (технологического) порядка. Очевидно, что реализация проекта без серьезной проработки, точного расчета рисков, оценки необходимых ресурсов (бюджета, персонала, лицензий и пр.) невозможна для современной организации, работающей в жестких конкурентных условиях. Для государственных организаций все вышесказанное усиливается требованиями обеспечения режима национальной безопасности, что подтверждается и требованиями законодательства и практикой выполнения проектов в области ИТ. В предлагаемой работе предложены некоторые подходы для реализации процесса поддержки принятия решения в части выбора модели для развития современной организации на фазе проектирования и оценки приемлемости выбора: по составу систем менеджмента, по применимым стандартам, по необходимости сертификации в функции обеспечения стабильного роста, безопасности бизнес-процессов, защиты ценных активов (в т.ч. нематериальных) на основании статистики сертификации ISO.
DDoS-атаки являются распространённым способом выведения сетевых информационных систем из строя, причём для увеличения эффективности злоумышленники часто используют комбинации из нескольких видов атак. В статье рассматриваются параметры сетевого трафика, позволяющие контролировать состояние системы и отслеживать вторжения. Для этих параметров определены пороговые значения и условия, позволяющие связать поведение параметров с типом атак, которым подвержена система.
При создании современных систем менеджмента, в том числе – интегрированных систем менеджмента (ИСМ) необходимо решать комплекс вопросов обеспечения безопасности основных бизнес-процессов организации. Приоритет направления безопасности, особенно информационной безопасности (ИБ) постоянно возрастает в силу усиления конкурентной среды, появления новых угроз и значительной сложности выполнения процедур риск-менеджмента. Для ИСМ весьма актуальна проблема получения оценки защищенности, что позволяет в краткосрочном и/или прогнозном аспектах оценить присущие данной организации риски, спроектировать эффективную систему менеджмента информационной безопасности (СМИБ) и внедрить экономически обоснованные средства обеспечения безопасности. В предлагаемой работе предложены некоторые подходы для создания модели оценки защищенности ИСМ в соответствии с требованиями стандарта ISO/IEC 27001:2005 и ISO 22301:2012. Учитывая относительную новизну данных стандартов в практическом применении к исследуемой проблеме в ИСМ, предлагаемые подходы могут быть полезны при планировании СМИБ, оценке защищенности уже созданных ИСМ, а также, в частности, для решения практических задач – аудитов ИБ в организациях.
В работе представлена методика верификации сетевых информационных потоков информационно-телекоммуникационных систем со встроенными устройствами. Цель методики – оценка защищенности разрабатываемой системы и проверка соответствия информационных потоков в реальной системе заданным политикам. Проводимая верификация базируется на методе «проверки на модели» с использованием программного средства SPIN. Верификация информационных потоков проводится на начальных этапах проектирования и обеспечивает более раннее обнаружение противоречий в используемой политике безопасности и несоответствий топологии сети требованиям информационно-телекоммуникационной системы.
В статье рассматриваются оценки чувствительности спектральных характеристик анализируемого входного трафика к компьютерной атаке при использовании альтернативы сингулярного спектрального анализа типа «гусеницы» для различных метрик и видов атак. Выявленное изменение спектра в момент начала атаки и при её продолжении может использоваться при разработке средств обнаружения вторжений.
В работе представлена концепция разработки комбинированной защиты встроенных устройств, применимая в процессе разработки механизмов защиты информации систем и сервисов обеспечения комплексной безопасности железнодорожного транспорта. Предлагаются модель процесса конфигурирования компонентов защиты встроенных устройств, а также методика конфигурирования, разработанные с учетом экспертных знаний в предметной области информационной безопасности встроенных устройств. Цель конфигурирования – найти такую конфигурацию защиты, которая реализует все необходимые требования защиты и ограничения со стороны платформы устройства, удовлетворяет заданным критериям ресурсопотребления и не содержит известных видов несовместимостей компонентов защиты.
В статье рассматриваются особенности построения и функционирования автоматизированных систем железнодорожного транспорта. В качестве основных отличительных факторов выделены достаточно большое многообразие и разнородность таких систем, их взаимная связность и связность с сетями общего пользования и сильная разнородность внутренних пользователей. Представлена и рассмотрена архитектура многоуровневой системы обеспечения информационной безопасности, которая предложена для защиты информации в автоматизированных системах железнодорожного транспорта. Для хранения данных о безопасности в многоуровневой интеллектуальной системе защиты предложено использование гибридного онтологического репозитория. Для интеллектуальных сервисов анализа данных, находящихся на верхнем уровне рассматриваемой системы защиты, предложены формальные постановки задачи. Анализ этих постановок показал, что разработка интеллектуальных сервисов управления корреляцией, анализа защищенности и моделирования атак следует относить к задачам анализа. Интеллектуальные сервисы поддержки принятия решений и визуального анализа данных относятся к задачам синтеза.
В статье предложен подход к формированию профилей нормального функционирования (ПНФ) объектов мониторинга, что является одним из этапов в задачах обнаружения сетевых аномалий. Показаны основные трудности, возникающие при формировании ПНФ по данным мониторинга, и способы их преодоления. В качестве математической основы для формирования ПНФ предлагается использовать итерационные методы, в частности, метод Шискина–Эйзенпресса. Представлены результаты экспериментальной проверки методов формирования ПНФ, сделаны выводы о возможности применения методов в задачах обнаружения сетевых аномалий.
Рассматривается метод анализа сингулярного спектра («гусеница») приме- нительно к метрикам, базирующимся на значениях сетевого трафика и загрузки систе- мы, с целью определения влияния DDoS-атак на главные компоненты временных рядов этих метрик. Выявленное поведение главных компонент в момент начала атаки и при её продолжении может использоваться при разработке средств обнаружения вторжений.
Рассмотрен метод анализа сингулярного спектра («гусеница») и его применение в области анализа временных рядов сетевого трафика на Web-сервере с целью выявления DDoS-атак на сервер. Выполнено разложение исходных рядов, выявлены особенности собственных функций и главных компонент рядов в разных режимах работы системы.
Анализ публикаций за последние несколько лет по проблеме проектирования, внедрения и сопровождения систем защиты персональных данных (ПДн) позволяет отметить стабильно высокий интерес к этому актуальному и критичному аспекту обеспечения ИБ. Определенно предлагаемые различными специалистами подходы к синтезу моделей на базе как международных, так и отечественных стандартов свидетельствует о глубокой проработке всех требований по защите ПДн, но в тоже время ставят новые вопросы, эффективное решение которых экспертам еще только предстоит синтезировать и проверить на практике. В предлагаемой работе предложены некоторые подходы для создания модели оценки защищенности ПДн в соответствии с требованиями стандарта ISO/IEC 27001:2005. Учитывая относительную новизну данного стандарта в практическом применении к исследуемой проблеме, предлагаемые подходы могут оказаться полезными при планировании систем защиты ПДн, оценке защищенности уже созданных ИСПДн, а также, в частности, для решения практических задач — аудитов ИБ в организациях.
Кибернетическое противоборство знаменует собой новый уровень информационного противоборства, имеющего место в компьютерной инфраструктуре. Новым и достаточно перспективным направлением в защите информации в условиях киберпротивоборства является построение системы интеллектуальных сервисов защиты информации. Система интеллектуальных сервисов защиты информации использует технологию управления информацией и событиями безопасности, что позволяет ей успешно противостоять кибератакам и кибертерроризму и обеспечивать необходимый уровень кибербезопасности защищаемой инфраструктуры. В статье рассматриваются основные положения по построению системы интеллектуальных сервисов защиты и ее отдельных компонентов. На основании результатов рассмотрения общих положений по построению системы интеллектуальных сервисов защиты информации представлены подходы к реализации ряда базовых интеллектуальных сервисов защиты, таких как сервисы сбора, преобразования и хранения информации о событиях безопасности, сервисы моделирования атак и поведения защищаемой системы, сервисы поддержки принятия решений в области обеспечения безопасности и сервисы визуализации информации о безопасности.
В статье рассматриваются особенности разработки концепции обеспечения информационной безопасности информационно-телекоммуникационных систем органов государственной власти. Отличительные положения концепции характеризуют объект защиты, угрозы информационной безопасности, средства обеспечения информационной безопасности и организацию обеспечения информационной безопасности. В качестве основных отличительных положений выделены концептуальная модель обеспечения информационной безопасности и концептуальная модель системы обеспечения информационной безопасности. Концептуальная модель обеспечения информационной безопасности представлена в функциональном виде, который позволяет определить зависимость показателей эффективности от полной совокупности условий и факторов, оказывающих влияние на их значения. Концептуальная модель системы обеспечения информационной безопасности представлена в виде ориентированного графа. При этом отмечается, что задача системы обеспечения информационной безопасности состоит в том, чтобы осуществить перекрытие каждого ребра данного графа соответствующими комплексами мер и средств защиты информации.
Применение SIEM-технологии (технологии управления информацией и событиями безопасности) является перспективным направлением в области защиты информации, особенно для критически важных инфраструктур. В статье приводятся общие положения по построению и функционированию систем, реализующих данную технологию, дается характеристика известных реализаций таких систем, а также обсуждаются особенности проекта MASSIF Седьмой рамочной программы Европейского Союза по созданию перспективных систем управления событиями и информационной безопасностью. Рассматриваются вопросы решения двух ключевых задач проекта, связанных с анализом событий безопасности на основе моделирования сетевых атак и построения репозитория.
26 - 30 из 30 результатов