МЕТОД РАЗРАБОТКИ БАЗЫ ЗНАНИЙ СЦЕНАРИЕВ УГРОЗ ДЛЯ СИСТЕМЫ РЕАГИРОВАНИЯ НА ИНЦИДЕНТЫ (IRP)
Аннотация
Цель работы – исследование возможности повышения эффективности реагирования на ин-
циденты информационной безопасности (ИБ). Это может быть достигнуто путем разработки
системы, способной быстро локализовать инцидент, обеспечивающей автоматизацию реагиро-
вания на угрозу ИБ, предпринимающей заранее заданные действия в зависимости от деталей реа-
лизуемого сценария угрозы. Предложена архитектура построения IRP-системы, основными моду-
лями которой являются база знаний сценариев реагирования, база знаний сценариев угроз, модули
определения статуса инцидента и принятия решений по формированию командной информации.
Решена задача разработки сценариев угроз для создания базы знаний сценариев, на основе кото-
рой могут быть разработаны адекватные сценарии реагирования, уникальные для каждой цепоч-
ки последовательности действий киберпреступника, событий и задействованных объектов. Фор-
мализован метод разработки базы знаний сценариев угроз на основе построения EPC-диаграмм
сценариев, отображающих многокомпонентные атаки с учетом тактик, техник, используемых
уязвимостей, угроз безопасности информации (УБИ), приведенных в нормативных документах и
базах данных. Сформулированы правила построения EPC-диаграмм сценариев угроз и методика
EPC-моделирования для объектов воздействия в АСУ ТП. Рассмотрен пример сценария атаки на
промышленную сеть из глобальной сети в случае, когда киберпреступник, атаковав компьютер
удаленного пользователя, в первую очередь осуществляет несанкционированный доступ в корпо-
ративный сегмент, закрепляется в нем для дальнейшего проникновения за периметр технологиче-
ской сети. Приведена разработанная EPC-диаграмма сценария угрозы с указанием используемых
тактик, техник, промежуточных УБИ, некоторых уязвимостей. Формализована оценка вероят-
ности реализации сценария.
Литература
informatsii v avtomatizirovannykh sistemakh upravleniya proizvodstvennymi i tekhnologicheskimi
protsessami na kriticheski vazhnykh ob"ektakh, potentsial'no opasnykh ob"ektakh, a takzhe ob"ektakh,
predstavlyayushchikh povyshennuyu opasnost' dlya zhizni i zdorov'ya lyudey i dlya okruzhayushchey
prirodnoy sredy» [Order of the FSTEC of Russia dated March 14, 2014 No. 31 "On approval of the
Requirements for ensuring information security in automated control systems for production and technological
processes at critical facilities, potentially hazardous facilities, as well as facilities posing an
increased danger to human life and health and to the environment"].
2. Prikaz FSTEK Rossii ot 25 dekabrya 2017 № 239 «Ob utverzhdenii Trebovaniy po obespecheniyu
bezopasnosti znachimykh ob"ektov kriticheskoy informatsionnoy infrastruktury Rossiyskoy
Federatsii» [Order of the FSTEC of Russia dated December 25, 2017 No. 239 "On approval of the Requirements
for ensuring the security of significant facilities of the critical information infrastructure of
the Russian Federation"].
3. Information Security: офиц. сайт. Available at: https://www.itsec.ru/articles (accessed 16 August
2024).
4. Gaggero G.B., Armellin A., Portomauro G. and Marchese M. Industrial Control System-Anomaly
Detection Dataset (ICS-ADD) for Cyber-Physical Security Monitoring in Smart Industry Environment,
IEEE Access, 2024, Vol. 12, pp. 64140-64149.
5. Makrakis, Georgios Michail & Kolias, Constantinos & Kambourakis, Georgios & Rieger, Craig &
Benjamin, Jacob. Vulnerabilities and Attacks Against Industrial Control Systems and Critical Infrastructures,
2021. Available at: https://www.researchgate.net/publication/354493711_ Vulnerabilities_
and_Attacks_Against_Industrial_Control_Systems_and_Critical_Infrastructures (accessed 16
August 2024).
6. Jet Detective i Jet Signal vneseny v reestr otechestvennogo programmnogo obespecheniya.
12 dekabrya 2017. Infosistemy Dzhet: ofits. sayt [Jet Detective and Jet Signal are included in the register
of domestic software. December 12, 2017. Jet Infosystems: official website]. Available at:
https://jet.su/press-center/news/jet-detective-i-jet-signal-vneseny-v-reestr-otechestvennogoprogrammnogo-
obespecheniya (accessed 15 August 2024).
7. R-Vizhn: ofits. sayt [R-Vision: official website]. Available at: https://www.rvision.ru/ (accessed 15
August 2024).
8. Intellektual'naya bezopasnost': ofits. sayt [Intelligent security: official website]. Available at:
https://www.securityvision.ru/docs/IRP.php (accessed 15 August 2024).
9. Cyberbit SOC 3D. Avtomatizirovannaya konsolidatsiya vsekh dannykh upravleniya protsessom
reagirovaniya na kiberintsidenty na edinuyu panel' upravleniya i povyshenie effektivnosti SOC v
tselom [Cyberbit SOC 3D. Automated consolidation of all cyber incident response management data
on a single control panel and increasing the efficiency of the SOC as a whole]. Available at:
https://www.pacifica.kz/upload/iblock/f43/f438e9f735ad1f4218e45acb9db8d706.pdf?ysclid=lzx8mckt
1r891749321 (accessed 16 August 2024).
10. IBM Resilient Incident Response Platform Enterprise on Cloud delivers orchestrated and automated
incident response processes. IBM Asia Pacific Software Announcement AP16-0410. November 1,
2016. Available at: https://www.ibm.com/docs/en/announcements/archive/ENUSAP16-0410#abstrx
(accessed 15 August 2024).
11. IRP (Incident Response Platform). Available at: https://encyclopedia.kaspersky.ru/glossary/irp/ (accessed
16 August 2024).
12. Metodicheskiy dokument FSTEK Rossii ot 05.02.2021. Metodika otsenki ugroz bezopasnosti
informatsii [Methodological document of the FSTEC of Russia dated 05.02.2021. Methodology for assessing
information security threats]. Available at: https://normativ.kontur.ru/document?
moduleId=1&documentId=451500 (accessed 16 August 2024).
13. Mashkina I.V., Garipov I.R. Razrabotka ERS-modeley ugroz narusheniya informatsionnoy
bezopasnosti avtomatizirovannoy sistemy upravleniya tekhnologicheskimi protsessami [Development
of EPC models of threats to information security of an automated process control system],
Bezopasnost' informatsionnykh tekhnologiy [Security of Information Technology], [S.I.], 2019,
Vol. 26, No. 4, pp. 6-20. ISSN 2074-7136. DOI: http://dx.doi.org/10.26583/bit.2019.4.01.
14. Zaid Alkilani M.O., Mashkina I.V. Razrabotka stsenariev atak dlya otsenki ugroz narusheniya
informatsionnoy bezopasnosti v promyshlennoy seti [Development of attack scenarios for assessing
threats of information security breach in an industrial network], Problemy informatsionnoy
bezopasnosti. Komp'yuternye sistemy [Problems of information security. Computer systems], 2024,
No. 1 (58), pp. 96-109. DOI 10.48612/jisp/xvkx-k619-3f2z 25.04.2024. – EDN: PDNEWN.
15. Sheer A.V. ARIS-modelirovanie biznes-protsessov [ARIS-modeling of business processes]. Moscow:
Vil'yams, 2000, 175 p.
16. Bank dannykh ugroz bezopasnosti informatsii Federal'naya sluzhba po tekhnicheskomu i eksportnomu
kontrolyu Rossii [Database of information security threats Federal Service for Technical and Export
Control of Russia]. Available at: https://bdu.fstec.ru (accessed 16 August 2024).
17. Stouffer K., Pease M., Tang CY., Zimmerman T., Pillitteri V., Lightman S., Hahn A., Saravia S., Sherule A.,
Thompson M. Title. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special
Publication (SP) NIST SP 800-82r3, 2023. Available at: https://doi.org/10.6028/NIST.SP.800-82r3.
18. CVE-2023-21541. Available at: https://nvd.nist.gov/vuln/detail/CVE-2023-21541 (accessed 26
October 2024).
19. CVE-2021-38704. Available at: https://nvd.nist.gov/vuln/detail/CVE-2021-38704 (accessed 26
October 2024).
20. CVE-2022-23724. Available at: https://nvd.nist.gov/vuln/detail/CVE-2022-23724 (accessed 26
October 2024).
21. CVE-2023-27121. Available at: https://nvd.nist.gov/vuln/detail/CVE-2023-27121 (accessed 26
October 2024).
