7. Рекомендации по проведению поиска (выделения) содержательной (семантической) информации, ее анализу и оформлению
7. Рекомендации по проведению поиска (выделения) содержательной (семантической) информации, ее анализу и оформлению 
7.1. Основными целями выполнения процедур, связанных с поиском (выделением) в технических данных и последующим анализом содержательной (семантической) информации являются:
- определение технических способов и схем реализаций угроз ИБ;
- проведение идентификации субъектов, реализующих угрозы ИБ;
- выявление маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры <1>, используемых для осуществления переводов денежных средств.
--------------------------------
<1> Также указанные данные известны под общим наименованием "индикаторы компрометации, indicators of compromise, IOC".
7.2. Для обеспечения возможности выполнения процедур, связанных с поиском (выделением) в технических данных и последующим анализом содержательной (семантической) информации организации БС РФ рекомендуется:
- обеспечить участие компетентных аналитиков в области анализа технических данных;
- обеспечить наличие необходимых технических средств и инструментов для выделения и анализа содержательной (семантической) информации;
- определить и обеспечить выполнение правил документирования выделенной содержательной (семантической) информации и результатов ее анализа.
7.3. Для проведения поиска (выделения) и анализа содержательной (семантической) информации организации БС РФ рекомендуется выполнение следующего общего алгоритма действий:
- определить для каждого инцидента ИБ из числа указанных в пункте 6.1 настоящего стандарта перечень событий ИБ, значимых для поиска (выделения) и анализа содержательной (семантической) информации:
- исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа;
- события ИБ или их группа, потенциально имеющие отношение или связанные с инцидентом ИБ;
- провести непосредственный поиск (выделение) из технических данных содержательной (семантической) информации, связанной с указанными событиями ИБ;
- провести анализ, в том числе корреляционный и сравнительный, выделенной содержательной (семантической) информации, в том числе для достижения целей, указанных в пункте 7.1 настоящего стандарта.
7.4. В большинстве случаев деятельность по поиску (выделению) и анализу содержательной (семантической) информации не может быть формализована, а результат ее выполнения определяется опытом и компетенцией аналитика.
Для цели повышения качества и оперативности поиска (выделения) и анализа содержательной (семантической) информации организации БС РФ рекомендуется:
- использование специализированных технических средств и систем централизованного сбора, анализа и хранения протоколов (журналов) регистрации (например, систем управления журналами регистрации или SIEM систем):
- использование известных маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, которые могут быть разработаны аналитиками организации БС РФ самостоятельно или получены из внешних источников, осуществляющих реагирование на инциденты ИБ, например, от FinCert Банка России.
7.5. В составе основных событий ИБ организации БС РФ рекомендуется рассматривать следующие:
- события, связанные с идентификацией и аутентификацией администраторов и эксплуатационного персонала, программных процессов (сервисов), клиентов и участников платежной системы (далее при совместном упоминании - субъекты доступа) в целевых системах и информационной инфраструктуре размещения целевых систем и информационной инфраструктуре клиентов;
- события, связанные с управлением доступом в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
- события, связанные с осуществлением доступа к целевым системам и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
- события, связанные с осуществлением удаленного доступа к целевым системам и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;
- события, связанные с антивирусной защитой;
- события, связанные с выполнением криптографических преобразований;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с осуществлением информационного взаимодействия на всех уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91.
7.6. Для инцидентов ИБ, связанных с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуре целевых систем, рекомендуется рассмотрение следующих событий ИБ, значимых для цели поиска (выделения) и анализа содержательной (семантической) информации:
- исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа:
- события, связанные с осуществлением доступа к целевым системам и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
- события, связанные с осуществлением удаленного доступа к целевым системам и информационной инфраструктуре размещения целевых систем;
- события, связанные с выполнением криптографических преобразований;
- события ИБ или их группа, информация о которых потенциально может быть использована для определения технических способов и схем реализаций угроз ИБ:
- события, связанные с идентификацией и аутентификацией субъектов доступа в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиента;
- события, связанные с управлением доступом в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем, информационной инфраструктуры клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с антивирусной защитой;
- события, связанные с выполнением криптографических преобразований;
- события, связанные с осуществлением информационного взаимодействия на прикладном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для проведения идентификации субъектов, реализующих угрозы ИБ:
- события, связанные с идентификацией и аутентификацией субъектов доступа в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов;
- события, связанные с осуществлением информационного взаимодействия на аппаратном (физическом), сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств:
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуре клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с антивирусной защитой;
- события, связанные с осуществлением информационного взаимодействия на сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91.
7.7. Для инцидентов ИБ, связанных со спам-рассылками, осуществляемыми в отношении клиентов, осуществляемых в рамках реализации методов "социального инжиниринга", рекомендуется рассмотрение следующих событий ИБ, значимых для цели поиска (выделения) и анализа содержательной (семантической) информации:
- исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа, а также события ИБ или их группа, информация о которых потенциально может быть использована для выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств:
- события, связанные с осуществлением информационного взаимодействия с почтовыми серверами на прикладном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события, связанные с функционированием почтовых серверов, средств контентной фильтрации электронной почты;
- события ИБ или их группа, информация о которых потенциально может быть использована для определения технических способов и схем реализаций угроз ИБ, а также события ИБ или их группа, информация о которых потенциально может быть использована для проведения идентификации субъектов, реализующих угрозы ИБ:
- события, связанные с осуществлением информационного взаимодействия на аппаратном (физическом), сетевом, транспортном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события, связанные с осуществлением информационного взаимодействия с почтовыми серверами на прикладном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события, связанные с функционированием почтовых серверов, средств контентной фильтрации электронной почты.
7.8. Для инцидентов ИБ, связанных с реализацией атак типа "отказ в обслуживании" (DDOS-атаки), реализуемых применительно к информационной инфраструктуре клиентов, систем ДБО и систем фронт-офиса организации БС РФ, рекомендуется рассмотрение следующих событий ИБ, значимых для цели поиска (выделения) и анализа содержательной (семантической) информации:
- исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа:
- события, связанные с осуществлением информационного взаимодействия на сетевом уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для определения технических способов и схем реализаций угроз ИБ:
- события, связанные с осуществлением информационного взаимодействия на сетевом и транспортном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для проведения идентификации субъектов, реализующих угрозы ИБ:
- события, связанные с изменением состояния информационной инфраструктуры СВТ бот-сетей;
- события, связанные с антивирусной защитой СВТ бот-сетей;
- события, связанные с осуществлением информационного взаимодействия информационной инфраструктуры СВТ бот-сетей на сетевом и транспортном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств:
- события, связанные с изменением состояния информационной инфраструктуры СВТ бот-сетей.
7.9. Для инцидентов ИБ, связанных с деструктивным воздействием компьютерных вирусов на информационную инфраструктуру организации БС РФ и клиентов, рекомендуется рассмотрение следующих событий ИБ, значимых для цели поиска (выделения) и анализа содержательной (семантической) информации:
- исходные (базовые) события ИБ или их группа, являющиеся отправной точкой дальнейшего поиска и анализа:
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с антивирусной защитой;
- события ИБ или их группа, информация о которых потенциально может быть использована для определения технических способов и схем реализаций угроз ИБ:
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с осуществлением информационного взаимодействия на аппаратном (физическом), сетевом, транспортном и прикладном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для проведения идентификации субъектов, реализующих угрозы ИБ:
- события, связанные с антивирусной защитой;
- события, связанные с осуществлением информационного взаимодействия на аппаратном (физическом), сетевом, транспортном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91;
- события ИБ или их группа, информация о которых потенциально может быть использована для выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры, используемых для осуществления переводов денежных средств:
- события, связанные с изменением состояния информационной инфраструктуры размещения целевых систем и информационной инфраструктуры клиентов;
- события, связанные с функционированием средств защиты от несанкционированного доступа;
- события, связанные с антивирусной защитой;
- события, связанные с осуществлением информационного взаимодействия на прикладном уровне модели взаимодействия открытых систем, определенной в ГОСТ 28906-91.
7.10. Для событий ИБ, связанных с идентификацией и аутентификацией субъектов доступа в целевых системах и информационной инфраструктуре размещения целевых систем, информационной инфраструктуры клиентов аналитику может быть рекомендовано рассмотрение следующей информации:
энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ:
- информация конфигурационных файлов данных операционных систем и приложений целевых систем, информация системного реестра операционной системы Windows:
- конфигурационная информация, определяющая размещение файлов протоколов (журналов) регистрации (log-файлов) и временных файлов;
- конфигурационная информация о составе пользователей - субъектов доступа, включая информацию о составе учетных записей пользователей, статусах учетных записей пользователей;
- информация протоколов (журналов) регистрации (system events, application events, audit records) операционных систем и приложений целевых систем:
- информация, связанная с выполнением операций идентификации и аутентификации;
- информация, связанная с изменением аутентификационных данных субъектов доступа;
энергозависимые технические данные операционных систем и данные, расположенные в оперативной памяти СВТ:
- информация о сетевых соединениях;
- информация об открытых сессиях доступа;
протоколы (журналы) регистрации целевых систем, средств (систем) аутентификации, авторизации и разграничения доступа, СУБД:
- информация о действиях и операциях, связанных с неуспешными попытками доступа к целевым системам, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД;
- информация об идентификации и аутентификации субъектов доступа в целевых системах, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД;
- информация о неуспешных попытках выполнения идентификации и аутентификации субъектов доступа в целевых системах, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов и СУБД, в том числе связанных с невозможностью получения данных от систем аутентификации;
- информация, связанная с изменением аутентификационных данных субъектов доступа;
- информация о составе субъектов доступа, включая информацию о составе учетных записей субъектов доступа, статусах учетных записей субъектов доступа.
7.11. Для событий ИБ, связанных с осуществлением доступа к целевым системам и информационной инфраструктуре размещения целевых систем, аналитику может быть рекомендовано рассмотрение следующей информации:
энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ:
- информация конфигурационных файлов данных операционных систем и приложений целевых систем, информация системного реестра операционной системы Windows:
- информация, определяющая размещение файлов протоколов (журналов) регистрации (log-файлов) и временных файлов;
- информация о составе субъектов доступа, включая информацию о составе учетных записей субъектов доступа, статусах учетных записей субъектов доступа, о включении учетных записей субъектов доступа в группы;
- информация о правах доступа, предоставленных субъектам доступа и группам;
- информация о статусах учетных записей субъектов доступа;
- информация о пользовательских настройках, информация о домашней директории пользователя - субъекта доступа;
- информация протоколов (журналов) регистрации (system events, application events, audit records) операционных систем и приложений целевых систем:
- информация, связанная с выполнением авторизации субъектов доступа;
- информация об истории выполненных субъектами доступа команд (command history);
- информация об использовании субъектами доступа файлов данных (recently accessed files);
- информация об использовании субъектами доступа ресурсов сети Интернет (история web-браузера);
энергозависимые технические данные операционных систем и данные, расположенные в оперативной памяти СВТ:
- информация об операциях, связанных с осуществлением доступа к файлам данных;
- информация о сетевых соединениях;
- информация о запущенных программных процессах:
- информация об открытых файлах данных;
- информация об открытых сессиях доступа;
протоколы (журналы) регистрации целевых систем, средств (систем) аутентификации, авторизации и разграничения доступа, СУБД:
- информация об операциях, связанных с управлением доступом субъектов доступа к целевым системам, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД:
- информация о составе учетных записей субъектов доступа, статусах учетных записей субъектов доступа;
- информация о действиях и операциях, связанных с изменением состава и значений атрибутов учетных записей;
- информация о действиях и операциях, связанных с блокированием (разблокированием) учетных записей;
- информация о действиях и операциях, связанных с предоставлением, блокированием и (или) прекращением предоставления логического доступа;
- информация о действиях и операциях, связанных с изменением прав доступа:
- информация о действиях и операциях, связанных с созданием, изменением, удалением роли, группы;
- информация о действиях и операциях, связанных с изменением прав доступа роли, группы;
- информация о действиях и операциях, связанных с назначением ролей (изменением состава групп);
- информация о действиях и операциях, связанных с осуществлением доступа субъектов доступа к целевым системам, информационной инфраструктуре размещения целевых систем, информационной инфраструктуре клиентов, СУБД:
- информация об авторизации, завершении и (или) прерывании (приостановке) осуществления доступа;
- информация о действиях и операциях, выполненных субъектами доступа;
- информация о неуспешных попытках доступа;
- информация о выполненных субъектами доступа действий и операций, для которых не требуется выполнения предварительной идентификации и аутентификации;
- информация о выполненных DML-операторах, операторе SELECT- и DDL-операторах;
- информация об изменении конфигурационных данных целевых систем, информационной инфраструктуры целевых систем, СУБД;
- информация об атрибутах выполненных операций в целевых системах, информационной инфраструктуры целевых систем, СУБД:
- информация о содержании выполненной операции;
- дата и время осуществления операции;
- результат выполнения операции (успешная или неуспешная);
- идентификационные данные субъекта доступа, выполнившего операцию;
- идентификационные данные СВТ, которое использовалось для выполнения операции.
7.12. Для событий ИБ, связанных с осуществлением удаленного доступа к целевым системам и информационной инфраструктуре размещения целевых систем, аналитику может быть рекомендовано рассмотрение следующей информации:
энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ:
- информация операционных систем о действиях и операциях по удаленному доступу к объектам файловой системы (загрузка, скачивание, создание, удаление файлов, получение доступа к файлам);
энергозависимые технические данные операционных систем и данные, расположенные в оперативной памяти СВТ:
- информация о сетевых конфигурациях:
- информация о сетевых соединениях;
- информация об открытых сессиях доступа;
протоколы (журналы) регистрации телекоммуникационного оборудования, средств межсетевого экранирования, средств обнаружения и предотвращения атак и данные сетевого трафика на сеансовом и прикладном уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- информация об установке и окончании сессии взаимодействия на сеансовом уровне;
- информация об использованных идентификаторах субъектов доступа;
- информация о выполняемых операциях и командах, результатах их выполнения;
- информация о возможных реализациях вторжений (атак), в том числе информация о типе реализуемой атаки (например, атака типа "переполнение буфера", SQL-инъекция), об использованной уязвимости, результативности реализации атаки.
7.13. Для событий ИБ, связанных с изменением информационной инфраструктуры размещения целевых систем, информационной инфраструктуры клиентов, аналитику может быть рекомендовано рассмотрение следующей информации:
энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ:
- информация о составе и атрибутах файлов данных, в том числе исполняемых файлов данных, файлов данных программного обеспечения, командных файлов данных и скриптов, файлов данных, потенциально содержащих мобильный код и исполняемые макросы, файлов документов;
- информация о реализации операций с использованием функций файловой системы (операционной системы), в том числе самокопирование, захват иных файлов данных, передача файлов данных;
- информация конфигурационных файлов данных операционных систем и приложений целевых систем, информация системного реестра операционной системы Windows:
- информация о программных сервисах, запускаемых автоматически при загрузке операционной системы;
- информация об установленном программном обеспечении, его обновлениях;
- информация об обновлениях операционной системы;
- конфигурационная информация, определяющая размещение файлов протоколов (журналов) регистрации (log-файлов) и временных файлов;
- информация о запланированных задачах (scheduled jobs), включая информацию о наименовании запланированной задачи, составе выполняемых команд, программ и операций запланированной задачи, планируемых датах и времени выполнения запланированной задачи;
- информация о составе и атрибутах скрытых и удаленных исполняемых файлов данных;
- информация о составе, атрибутах и содержании временных файлов данных;
- информация о порождаемых исполняемыми файлами данных программных процессах;
- информация о составе и атрибутах скрытых исполняемых файлов данных и исполняемых файлов данных, расположенных в скрытых директориях файловых систем;
- информация о составе и атрибутах исполняемых файлов данных, расположенных в неиспользуемых областях в пределах логических модулей выделения файлового пространства (file slack space);
- информация о составе и атрибутах исполняемых файлов данных, расположенных в неиспользуемом пространстве файловой системы (free space);
- содержательная информация об атрибутах и содержании файлов данных:
- дата и время создания файла;
- дата и время последней модификации файла;
- дата и время последнего доступа к файлу;
- дата и время последнего изменения атрибутов файла, в том числе атрибутов, связанных с изменением прав доступа к файлу и владельца файла данных (inode change);
- размер файла данных, место размещения в файловой системе;
- формат или структура файла данных;
- наличие объектов, внедренных в файл данных;
- используемые (реализуемые) исполняемым файлом данных программных интерфейсах (API)
- значение вычисления хэш-функции файла данных;
- сетевые соединения, инициируемые или принимаемые исполняемыми файлами данных;
- дополнительные атрибуты файлов данных файловой системы NTFS (alternate data stream, ADS);
- информация протоколов (журналов) регистрации (system events, application events, audit records) операционных систем и приложений целевых систем:
- информация о загрузке и завершении работы операционной системы;
- информация об изменении конфигурационных данных операционных систем;
- информация о загрузке, выгрузке и изменении функционирования драйверов физических и виртуальных устройств;
- информация об изменении состава или обновлении программного обеспечения;
- информация о подключении и отключении устройств, в том числе отчуждаемых и мобильных устройств;
- информация о запускаемых программных процессах и сервисах;
- информация о составе и работе системных служб (запуск, остановка, возобновление, завершение, удаление, блокирование системных служб);
- информация об ошибках программного обеспечения;
- информация об изменении состава запланированных задачах (scheduled jobs), операциях по управлению расписанием запланированных задач;
энергозависимые технические данные операционных систем и данные, расположенные в оперативной памяти СВТ:
- информация, полученная из неиспользуемых областей в пределах логических страниц или блоков выделения пространства оперативной памяти (memory slack space):
- информация, полученная из неиспользуемого пространства оперативной памяти (memory free space, garbage):
- информация о сетевых конфигурациях;
- информация о сетевых соединениях;
- информация о запущенных программных процессах;
- информация об открытых файлах данных:
- информация об открытых сессиях доступа;
- информация о системных дате и времени операционной системы, включая информацию о часовом поясе;
данные, связанные с функционированием СУБД:
- информация о создании резервных копий баз данных и их восстановлении из резервных копий;
- информация об изменении конфигурационных данных СУБД и баз данных;
- информация об операциях, связанных с созданием, вызовом, загрузкой программных модулей и хранимых процедур и функций, в том числе внешних хранимых процедур (DDL-процедур).
7.14. Для событий ИБ, связанных с антивирусной защитой, аналитику может быть рекомендовано рассмотрение следующей информации:
- информация о выполненных операциях по установке и обновлению средств антивирусной защиты;
- информация о выполненных операциях по обновлению сигнатурных баз средств антивирусной защиты;
- информация о фактах обнаружения и удаления (в том числе неуспешных) компьютерных вирусов;
- информация о выполненных операциях по отключению антивирусных средств;
- информация о выполненных операциях по проверке отсутствия компьютерных вирусов;
- информация о сбоях в работе средств антивирусной защиты;
- информация о результатах выполнения проверок целостности программных средств антивирусной защиты;
- информация о случаях выявления использования технологии мобильного кода (Java, JavaScript, ActiveX, VBScript и иные аналогичные технологии).
7.15. Для событий ИБ, связанных с выполнением криптографических преобразований, аналитику может быть рекомендовано рассмотрение следующей информации:
- информация о выполненных операциях по криптографическому преобразованию информации при осуществлении переводов денежных средств;
- информация о выполненных операциях проверки электронной подписи в рамках осуществления переводов денежных средств;
7.16. Для событий ИБ, связанных с функционированием средств защиты от несанкционированного доступа, аналитику может быть рекомендовано рассмотрение следующей информации:
- информация о запуске программных процессов и сервисов;
- информация об установке, обновлении и (или) изменении состава программного обеспечения;
- информация о результатах выполнения доверенной загрузки операционных систем;
- информация о результатах выполнения операций по контролю состава, целостности программного обеспечения, контроля состава программного обеспечения, запускаемого при загрузке операционной системы.
7.17. Для событий ИБ, связанных с осуществлением информационного взаимодействия на всех уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91, аналитику может быть рекомендовано рассмотрение следующей информации:
протоколы (журналы) регистрации телекоммуникационного оборудования, средств межсетевого экранирования, средств обнаружения и предотвращения атак и данные сетевого трафика:
- информация аппаратного (физического) и канального уровней по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- MAC-адреса сетевых карт источника и получателя данных;
- данные о протоколе канального уровня (EtherType value);
- информация об изменениях состояния сетевого интерфейса на аппаратном (физическом) и канальном уровне, в том числе подключение к вычислительной сети, изменение параметров, отключение от вычислительной сети, физическое отсоединение от сети;
- информация сетевого уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- IP-адреса источника и получателя данных;
- дата, время и результаты обработки сетевых пакетов;
- идентификатор и информация о протоколе сетевого и транспортного уровня (IP protocol number, например, TCP, UDP, ICMP);
- базовая информация используемого протокола (например, номер порта TCP или UDP, ICMP-тип и код);
- информация о результатах выполнения операций адресации и маршрутизации (status information) и возникающих при этом ошибках (error information);
- информация об адресах, портах и результатах выполнения NAT-преобразований;
- информация о результатах установления и отклонения PROXY-соединений;
- информация о назначении IP-адресов DHCP и DNS-сервисов, в том числе дата и время обработки назначения (высвобождения) IP-адреса, MAC-адреса средств вычислительной техники, результаты назначения IP-адреса, информация о соответствии MAC-адресов и IP-адресов;
- информация VPN-шлюзов об установлении взаимодействия на сетевом уровне, в том числе IP-адреса источника и получателя данных, дата и время обработки сетевых пакетов;
- информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
- информация о результатах применения правил фильтрации информационных потоков;
- информация транспортного уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- информация об установке и окончании соединений по протоколам TCP, UDP, ICMP;
- информация о номерах сетевых портов (ports) источника и получателя данных протоколов TCP и UDP, которые потенциально могут указывать на программное обеспечение, используемое для обмена данными;
- информация о состоянии интерфейсов транспортного уровня взаимодействия (сокетов), в том числе создание сокета, переход в режим ожидания соединения, отправка и прием запроса на соединение, завершение соединения, удаление сокета;
- информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
- информация о результатах применения правил фильтрации информационных потоков;
- информация сеансового и прикладного уровня по семиуровневой стандартной модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- данные, передаваемые по протоколу NetFlow;
- информация об установке и окончании сессии взаимодействия на сеансовом уровне;
- идентификатор и информация о протоколе прикладного уровня;
- информация об использованных идентификаторах субъектов доступа;
- информация о выполняемых операциях и командах, результатах их выполнения;
- информация о возможных реализациях вторжений (атак), в том числе информация о типе реализуемой атаки (например, атака типа "переполнение буфера", SQL-инъекция), об использованной уязвимости, результативности реализации атаки;
- информация о создании, активации, деактивации, удалении правил фильтрации информационных потоков;
- информация о результатах применения правил фильтрации информационных потоков;
- информация о создании, изменении, удалении доверительных отношений между доменами;
протоколы (журналы) регистрации и данные почтовых серверов, средств контентной фильтрации электронной почты:
- информация "заголовков" почтовых сообщений:
- информация о почтовых адресах отправителя и получателя почтового сообщения;
- информация о дате и времени отправления почтовых сообщений;
- информация о "теме" почтового сообщения;
- информация об идентификационных номерах почтовых сообщений (message ID);
- информация о типе почтового клиента, использованного для формирования почтового клиента;
- информация о "степени важности" почтового сообщения;
- информация о маршрутизации почтового сообщения (перечень транзитных почтовых серверов прохождения почтового сообщения, дата и время приема почтового сообщения указанными почтовыми серверами);
- информация "тела" почтового сообщения:
- содержание почтового сообщения;
- информация о типе содержимого почтового сообщения (например, простой текст, наличие графики, наличие прикрепленных файлов);
- информация о наличии прикрепленных файлов и содержание прикрепленных файлов;
- информация о наличии и содержании гиперссылок.
протоколы (журналы) регистрации и данных web-серверов, средств контентной фильтрации web-протоколов:
- информация о дате и времени получения запроса, результате выполнения запроса (status code);
- информация об IP-адресе инициатора запроса;
- информация о СВТ, с использованием которого сформирован запрос:
- информация о web-браузере, сформировавшем запрос;
- информация об операционной системе средства вычислительной техники, использованного для формирования запроса;
- информация о типе запроса (получение данных, запись данных);
- информация о ресурсе доступа, в отношении которого выполнен запрос.
7.18. Особое внимание при анализе аналитику рекомендуется уделять следующей содержательной (семантической) информации.
Инциденты ИБ, связанные с НСД к объектам информационной инфраструктуры клиентов или информационной инфраструктуры целевых систем:
- информация о попытках подбора пароля, заключающаяся в наличии существенного количества попыток доступа с использованием "привилегированных" учетных записей, в том числе "встроенных" учетных записей (например, root, Administrator), результатом которых может являться успешная авторизация;
- информация о попытках осуществления доступа в нетипичное время (например, ночью). При этом следует учитывать различия в возможных часовых поясах нахождения аналитика и места сбора технических данных;
- информация о нетипичном поведении субъектов доступа при осуществлении доступа (в том числе наличие существенного количества сбоев авторизации, слишком ранняя или слишком поздняя попытка доступа и авторизации, нехарактерная для данного пользователя активность при осуществлении доступа);
- информация о попытках осуществления доступа субъектами доступа к системам и ресурсам, которые не требуются ему для выполнения служебных обязанностей;
- информация о существенном изменении состава внешних IP/DNS-адресов либо наличии постоянного сетевого трафика на IP/DNS-адреса, находящиеся вне территории РФ, что может свидетельствовать о заражении средства вычислительной техники компьютерными вирусами:
- информация о попытках установления входящих соединений с IP-адресами, находящимися вне территории РФ;
- информация о попытках установления входящих соединений в обход эксплуатируемого VPN-шлюза;
- информация о доступе к протоколам (журналам), содержащим информацию о событиях ИБ.
Инциденты ИБ, связанные с реализацией атак типа "отказ в обслуживании" (DDOS-атаки), реализуемые применительно к информационной инфраструктуре клиентов, систем ДБО и систем фронт-офиса организации БС РФ:
- информация о предварительных признаках DDOS-атак в виде кратковременных, нетипичных "всплесков" сетевого трафика, которые могут свидетельствовать о проведении злоумышленниками тестирования устойчивости информационной инфраструктуры организации БС РФ к DDOS-атакам;
- сравнительная информация о составе IP-адресов в период осуществления DDOS-атаки и IP-адресов за определенный период до реализации DDOS-атаки, позволяющая идентифицировать реальные IP-адреса лиц, осуществляющие атаки;
- информация о наличии угроз (вымогательств), связанных с предполагаемым началом DDOS-атаки. Такие угрозы могут попадать в организацию БС РФ через общедоступные (информационные) почтовые ящики, официальных представителей (пресс-службы) организации БС РФ, а также через работников организации БС РФ, адреса которых есть у злоумышленника.
Инциденты ИБ, связанные с деструктивным воздействием компьютерных вирусов на информационную инфраструктуру организации БС РФ и клиентов:
- информация о дате и времени появления компьютерных вирусов на СВТ организации БС РФ;
- информация о выявлении антивирусными средствами компьютерных вирусов, о наличии "в карантине" антивирусного средства зараженных файлов за интересующий период времени и (или) диапазон дат;
- информация о классификации производителем антивирусного средства компьютерных вирусов и исходном местоположении выявленных компонентов компьютерных вирусов на СВТ организации БС РФ;
- информация о наличии постоянного и (или) периодического исходящего или входящего сетевого трафика небольшого объема на сетевые адреса за пределами РФ либо сетевые адреса, находящиеся в РФ, но не принадлежащие списку IP-адресов, с которыми организация ведет разрешенный обмен данными;
- информация о нетипичных маршрутах прохождения сетевого трафика и нетипичных маршрутных таблицах сетевого оборудования;
- информация о наличии посторонних программных процессов, похожих на системные программные процессы, но запущенные либо из нетипичного места (временные папки, папки перемещаемых профилей), либо программных процессов, имеющих схожее название с системными;
- информация о наличии файлов и папок, похожих на "системные" файлы и папки, но находящихся в отличном от стандартного размещения местоположении в файловой системе (например, папка Windows Update в корне папки Windows);
- информация о наличии нехарактерного для организации БС РФ программного обеспечения, запускаемого при запуске операционной системы СВТ, в том числе в папках автозагрузки, в службах, в системных драйверах, в системном реестре операционной системы Windows, в планировщике задач, в иных специфических местах, определяемых типом операционной системы;
- информация о наличии в протоколах (журналах) регистрации операционных систем или специализированного программного обеспечения данных о подключении устройств;
- информация о наличии в протоколах (журналах) регистрации серверов электронной почты входящих электронных сообщений с адресов электронной почты, имеющих схожее написание с доменами государственных учреждений, либо с доменов, переписка с которыми не характерна для деятельности организации БС РФ.
7.19. Для проведения анализа содержательной (семантической) информации аналитику могут быть рекомендованы следующие общие стратегии.
Стратегия анализа в определенном временном диапазоне, которая может быть использована в случае наличия у аналитика сведений о дате и времени исходного (базового) интересующего события ИБ или их группы. Аналитику могут быть рекомендованы следующие методы анализа:
- анализ содержательной информации об атрибутах файлов данных с целью определения состава файлов данных и последующего анализа содержания файлов данных, созданных и (или) модифицированных за временной диапазон, связанный с инцидентом ИБ;
- анализ состава и содержания протоколов (журналов) регистрации за временной диапазон, связанный с инцидентом ИБ.
Стратегия анализа умышленно скрытых данных, которая предусматривает:
- проведение сравнительного анализа и расхождений содержания заголовков файлов данных (file header), расширений и структур файлов данных;
- анализ структуры и содержания зашифрованных файлов данных, файлов данных, защищенных паролями, в том числе архивов, файлов данных, содержимое которых сформировано с использованием методов "стеганографии";
- анализ информации из скрытых областей накопителей на жестких магнитных дисках (host-protected area HPA):
- анализ внедренных объектов в файлы данных (например, в файлы документов);
- анализ возможного размещения файлов данных в нестандартных местах файловой системы.
Стратегия сравнительного (корреляционного) анализа файлов данных и приложений, которая предусматривает:
- сопоставление состава файлов данных с установленными приложениями;
- сравнительный анализ состава и целостности исполняемых файлов данных на основе вычисления значений хэш-функций и эталонных значений;
- анализ возможной связи между файлами данных и (или) приложениями, например, соотнесение:
- данных журналов (протоколов) использования сети Интернет с кеш-файлами:
- файлов данных и файлов, содержащихся во вложении электронных почтовых сообщений;
- идентификация неизвестных типов файлов данных.
7.20. С целью идентификации субъектов, реализующих угрозы ИБ, аналитику может быть рекомендовано:
- определение владельца и места регистрации IP/DNS-адреса, с которого зафиксирована реализация угрозы ИБ или который был использован для реализации угрозы ИБ;
- проведение анализа атрибутов подозрительных или вредоносных файлов данных;
- проведение анализа временных параметров реализации угрозы ИБ (в том числе время наибольшей активности);
- проведение анализа временных параметров создания вредоносного кода и его отдельных компонентов;
- проведение анализа программного кода, использованного для реализации угрозы ИБ (например, вредоносного кода в файле данных, вредоносного скрипта, содержания "тела" почтового сообщения);
- проведение лингвистического (стилометрического) анализа текстов, сопровождающих реализацию угрозы ИБ (например, требование выкупа или шантажа);
- проведение анализа (пути) до потенциального нарушителя на следующих уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- сетевом (трассировка или traceback);
- прикладном (например, путем анализа заголовков почтовых сообщений);
- уровне маршрутизации (путем анализа таблиц маршрутизации);
- проведение анализа получателей несанкционированных переводов денежных средств или денежных средств, в отношении которых совершено покушение на хищение.
При проведении идентификации субъектов, реализующих угрозы ИБ, аналитик должен учитывать наличие следующих особенностей:
- потенциальная возможность использования для реализации угроз ИБ промежуточных узлов (прокси-серверов или abuse-устойчивый хостинг), которые могут находиться в различных юрисдикциях;
- потенциальная возможность целенаправленного изменения нарушителями ИБ служебных заголовков в трафике на сетевом или прикладном уровне (например, в сообщениях почтовых серверов или сервисов) для цели сокрытия нарушителями своего реального местоположения;
- отсутствие в большинстве современных сетевых и прикладных протоколов способов достоверного определения источника отправления данных;
- отсутствие реализации проверки идентификационных данных при регистрации IP/DNS-адресов;
- использование подставных лиц для выполнения отдельных операций в рамках реализации угрозы (например, в качестве получателей переводов денежных средств).
7.21. Для обеспечения возможности проведения выделения и анализа содержательной (семантической) информации организации БС РФ рекомендуется обеспечить в распоряжении аналитика следующих технических средств и инструментов:
- технические средства и инструменты анализа данных файловых систем, позволяющие:
- проводить поиск, выделение и анализ содержательной (семантической) информации в составе подозрительных файлов данных, удаленных файлов данных, скрытых директориях файловых систем, в неиспользуемых областях в пределах логических модулей выделения файлового пространства (file slack space), в неиспользуемом пространстве файловой системы (free space);
- устанавливать типы обрабатываемых файлов данных по содержанию заголовков файлов данных (file header) и их структуре;
- просматривать содержимое файлов данных разных форматов;
- осуществлять извлечение файлов данных из архивов;
- просматривать структуру директорий файловой системы, в том числе в графическом виде;
- проводить контроль состава и целостности исполняемых файлов данных на основе вычисления значений хэш-функций и эталонных значений, содержащихся в соответствующих справочниках, в том числе разрабатываемых организацией БС РФ. В качестве справочных данных организацией БС РФ может использоваться информация о вычисленных эталонных значениях хэш-функций, размещенная в справочнике NIST's National Software Reference Library (NSRL) [2];
- осуществлять полнотекстовый поиск по "ключевым словам" и поиск по "шаблонам" в содержимом файлов данных;
- осуществлять поиск и анализ информации в атрибутах файлов данных;
- технические средства и инструменты анализа данных оперативной памяти СВТ, позволяющие:
- просматривать содержимое, осуществлять поиск на основе текстовых и цифровых "шаблонов", ключевых слов и проводить анализ больших массивов неструктурированной информации (hex editors);
- технические средства и инструменты анализа данных протоколов (журналов) сетевого оборудования и данных сетевого трафика, позволяющие:
- осуществлять централизованный сбор, хранение и анализ данных протоколов (журналов) сетевого оборудования;
- осуществлять реконструкцию действий и событий для отдельных сессий сетевого взаимодействия и (или) всех сессий сетевого взаимодействия за определенный временной период;
- осуществлять визуализацию сетевого взаимодействия между СВТ (хостами) и иными элементами информационной инфраструктуры целевых систем;
- осуществлять построение шаблонов и профилей "типовой" сетевой активности и выявлять существенные отклонения сетевой активности от построенных шаблонов и профилей;
- осуществлять поиск в данных сетевого трафика на основе текстовых и цифровых "шаблонов", ключевых слов, аномалий.
Рекомендации по составу технических средств выделения из технических данных содержательной (семантической) информации и ее анализа приведены в приложении В к настоящему стандарту.
7.22. При проведении выделения и анализа содержательной (семантической) информации аналитик должен учитывать наличие следующих возможных технических ограничений:
- хранение содержимого файлов данных в зашифрованном виде;
- парольная защита архивов файлов данных;
- сокрытие файлов содержимого файлов данных с использованием методов "стеганографии" и "обфускации";
- использование вредоносного кода в содержимом архивных файлов, реализующего атаку типа "бомба разархивирования", предполагающую выполнение множественной повторяющейся операции разархивирования;
- использование вредоносного кода, реализующего выполнение множественной повторяющейся операции записи посторонних данных (шума) в оперативную память;
- использование вредоносного кода, обнаруживающего факт его анализа и пытающегося реализовать деструктивное воздействие на СВТ по факту своего обнаружения (например, перезаписать или уничтожить MBR-запись или зашифровать системные файлы на жестком магнитном диске);
- использование уникальных проприетарных форматов файлов данных;
- отсутствие должной синхронизации системного времени объектов информационной инфраструктуры - источников технических данных;
- использование накопителей на жестких магнитных дисках совместно с флеш-памятью, на которой сохранен пароль, необходимый для осуществления доступа к данным накопителя, в том числе в случаях, когда накопитель был извлечен из СВТ;
- шифрование или маскирование сетевого трафика;
- использование нетиповых номеров портов (ports) в рамках сетевого взаимодействия;
- сокрытие злоумышленником IP-адресов (spoofed IP addresses);
- регулярная смена злоумышленником IP/DNS-адресов;
- использование специальных алгоритмов генерации доменных имен;
- использование промежуточных узлов (в том числе нетипичных, например, принтеров), осложняющих идентификацию субъектов, реализующих угрозы ИБ. При этом необходимо учитывать, что угроза может быть реализована через узлы-посредники, владельцы которых не связаны с реализацией угрозы ИБ;
- сокрытие (инкапсуляция) вредоносной активности в разрешенных протоколах информационного взаимодействия (например, в DNS или HTTP/HTTPS).
7.23. Результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации должны быть документированы. Организации БС РФ рекомендуется формализовать правила документирования результатов выделения и анализа содержательной (семантической) информации. В правилах рекомендуется определить необходимость документирования:
- описания инцидента ИБ и его классификацию, выполненную с учетом содержания пункта 6.1 настоящего стандарта;
- описания состава собранных (используемых) технических данных;
- описания цели проведенного анализа собранных технических данных из числа определенных в пункте 7.1 настоящего стандарта;
- описания собранной первичной содержательной (семантической) информации, потенциально связанной с исходными (базовыми) событиями ИБ или их группой;
- описания использованных технических средств и инструментов, выполненных процедур и сервисных команд, связанных с обработкой технических данных. При этом описание должно обеспечивать возможность повторного выполнения указанных процедур и сервисных команд с исходными техническими данными;
- даты и времени выполнения процедур и сервисных команд по выделению и анализу содержательной (семантической) информации;
- содержания выделенной семантической информации;
- результатов анализа с максимально возможно подробным описанием:
- технических способов и схем реализаций угроз ИБ;
- результатов идентификации субъектов, реализующих угрозы ИБ;
- результатов выявления маркеров "скрытого" несанкционированного управления объектами информационной инфраструктуры;
- рекомендаций по сбору дополнительных технических данных с объектов информационной инфраструктуры, не принадлежащей организации БС РФ, например, протоколов (журналов) регистрации провайдеров сети Интернет или мобильных операторов связи;
- описания возможных вариантов интерпретации результатов анализа в случае отсутствия у аналитика однозначного вывода относительно инцидента ИБ;
- подробных выводов и рекомендаций, направленных на:
- совершенствование обеспечения ИБ организации БС РФ;
- устранение последствий инцидентов ИБ;
- устранение выявленных уязвимостей ИБ;
- инициирование взаимодействия с правоохранительными органами и (или) FinCert Банка России, а также иными организациями, проводящими мероприятия по реагированию на инциденты ИБ.
7.24. При определении содержания и детализации документов, содержащих результаты выполнения аналитиком процедур и сервисных команд по выделению и анализу содержательной (семантической) информации, организации БС РФ рекомендуется учитывать состав целевых получателей информации. Организации БС РФ рекомендуется рассматривать следующих потенциальных целевых получателей информации:
- руководство организации БС РФ, которому целесообразно обеспечить предоставление сводных аналитических отчетов обо всех выявленных инцидентах ИБ без указания детальных технических данных:
- технические подразделения организации БС РФ, служба ИБ, правоохранительные органы, FinCert Банка России, которым целесообразно обеспечить предоставление максимально подробных отчетов, содержащих подробное описание технических аспектов, связанных с инцидентом ИБ;
- подразделения по связям с общественностью или подразделения по работе с клиентами организации БС РФ, которым целесообразно обеспечить предоставление сводной информации без указания детальных технических данных, но направленной на повышение осведомленности в части возможных причин инцидента ИБ, которые могут быть интересны средствам массовой информации или клиентам организации БС РФ.
