Защита информации при использовании электронной почты на производственном предприятии

Последняя включает безопасное сканирование, деактивируя плагины, которые могут нанести вред сканируемой системе.Необходимым шагом при создании правил является подключение необходимых плагинов: возможна активация целыхгрупп, например, DefaultUnixAccounts, DNS, CISCO, SlackwareLocalSecurityChecks, Windows и т.д. Система проверяет признаки большого количества возможных атак и подозрительной активности приложений. Сканер никогда не будет анализировать активность сервиса только по номеру его порта. При изменении стандартно используемых приложениями портов – сканер обнаруживает изменение и проведет определение наличия подозрительной активности. Ниже приведен перечень общих настроек, к которым возможно получение доступа [2]:Basic: Посредством данного параметра возможно определение связанных с безопасностью и организационных аспектов проведения проверки или политики. Данные аспекты будут включать наименование шаблона сканирования, информацию о целях сканирования, в независимости от того, является ли данная операция запланированной.Discovery: в данной настройке проводится определение сканируемых портов и методов, которые будут использованы при проведении указанного исследования. Настройка содержит несколько разделов.Assessment: Данный параметр позволяет определять тип сканирования уязвимостей для выполнения и способы его исполнения. Система проводит проверку уязвимостей веб-приложений к возможным атакам, а также проверку устойчивости других приложений кDDoS-атакам.Report: В данной области настройки проводится работа с шаблонами формируемой отчетности по результатам сканирования уязвимостей. На рисунке 11 приведен режим настройки процесса сканирования уязвимостей, на рисунке 12 – настройки сканирования.Рис. – Настройки сканирования уязвимостейРис. – Настройки сканированияВ ходе проведения сканирования сети ООО «Вектор» были обнаружены следы инцидентов:- обнаружение неопознанного потока запросов к базе данных MSSQLServer;- обнаружены внешние сетевые атаки на серверные ресурсы;- возможность авторизации в СУБД в автоматическом режиме без ввода пароля;- обнаружена активность неопознанного приложения на сервере.Уязвимости в информационной системе ООО «Вектор включают:- не отключенная учетная запись «администратор» на компьютерах пользователей без пароля;- пароль Администратора на сервере не соответствует требованиям безопасности;- пользователям доступен режим самостоятельного отключения и удаления антивирусного ПО;- пользователи на рабочих станциях имеют права локальных администраторов;- установлены прикладные программные продукты, использование которых требует административных прав;- не разграничен доступ к использованию flash-накопителей;- существуют служебные доменные учетные записи, не имеющие пароля (например, учетная запись для использования сетевого сканера);- отсутствует система защиты от СПАМа;- в разделяемых файловых ресурсах всем пользователям доступны режимы записи, изменения и удаления (что является для некоторых ресурсов избыточным), не проводится мониторинг активности учетных записей при работе с ресурсами файлового сервера; - ошибки в конфигурировании межсетевого экрана.Устранение указанных уязвимостей возможно при использовании дополнительных программных средств, позволяющих провести анализ состояния системы (например, антивирусного ПО).3.3. Использование сканера уязвимостей MaxPatrolдля обеспечения безопасности почтовых серверовСистема MaxPatrolSIEM основана на базе профессионального сканера уязвимостей XSpider. Существующие в XSpider механизмы контроля были значительно дополнены за счет добавления модулей анализа безопасности баз данных и системных проверок. Основой MaxPatrolSIEM является высокопроизводительный сетевой сканер, который позволяет быстро и эффективно обнаруживать сетевые узлы, открытые порты, идентифицировать операционную систему и серверные приложения. Распределенная архитектура позволяет размещать сканирующий модуль в непосредственной близости от объекта сканирования, что дает возможность снижать нагрузку на каналы связи.Эвристические механизмы анализа позволяют выявлять уязвимости в сетевых службах и приложениях, работая с минимальным уровнем привилегий (режим тестирования на проникновение – penetrationtesting), позволяя получить оценку защищенности сети со стороны злоумышленника. При наличии доступа к механизмам удаленного управления узлом модуль сканирования может использовать их для глубокой проверки безопасности операционной системы и приложений. Данный метод позволяет с минимальным использованием ресурсов получить комплексную оценку защищенности, а также провести анализ параметров, недоступных в режиме теста на проникновение.База знаний включает в себя системные проверки для большинства распространенных операционных систем линеек Windows, Linux и Unix, а также специализированного оборудования, такого как маршрутизаторы и коммутаторы Cisco IOS, межсетевые экраны Cisco PIX и Cisco ASA.Все проверки проводятся удаленно с использованием встроенных механизмов удаленного администрирования, без необходимости установки агентов на проверяемые системы.Схема архитектуры MaxPatrol приведена на рисунке 1. Рисунок23 - СхемаархитектурыMaxPatrolСканер уязвимостей MaxPatrol SIEM является одним из наиболее распространенных программных продуктов в области поиска уязвимостей в информационных системах. Ключевой особенностью использования приложения является необходимость подключения плагинов, каждый из которых отвечает за поиск уязвимостей определенного типа. Существуют 42 различных типа подключения внешних модулей: для проведения пентеста возможна активация как отдельных плагинов, так и всех плагинов определенного типа - например, для проведения всех локальных проверок на системах класса Ubuntu. Также пользователями системы, имеющими квалификацию в области работы с системами безопасности, возможно написание собственных модулей сканирования.Основные возможности системы MaxPatrol SIEM включают [3]: - наличие большого количества режимов анализа защищенности;- возможность управления настройками сканирования;- наличие сервиса обновлений программного продукта и базы знаний по уязвимостям;- Возможность создания отчетности об уязвимостях.В системе поддерживается несколько способов сканирования, включающих удаленное и локальное сканирование активов, сканирование с поддержкой аутентификации, автономный аудит конфигурации сетевых устройств [3]: Возможностиобнаружения и сканирования активов, включающих сетевые устройства, включая брандмауэры, операционные системы, базы данных, веб-приложения, виртуальные и облачные среды.Сервисы сетевого сканирования. Сканирование протоколов IPv4, IPv6 и гибридных сетях, поддерживается возможность запуска задач по расписанию. Возможности сканирования с настройкой времени и частоты запуска. Сканирование сетевых узлов по выборке Возможность автоматического анализа результатов сканирования. Выдача рекомендаций по восстановлению и настройке процесса поиска уязвимостей.В системе имеются возможности автоматической пересылки отчетов ответственным специалистам при обнаружении уязвимостей, с указанием уровня их опасности, формирования отчетности по расписанию, включая отчеты по устранению уязвимостей. Возможность создания отчетности с поддержкой сортировки по видам уязвимостей или хостам, создание аналитического отчета по результатам поиска уязвимостей и состоянию защищенности сети. Поддерживается множество форматов отчетов, включая: встроенные (XML), PDF, CSV и HTML. Возможна настройка рассылки уведомлений об отправке отчета, о получении или обновлении состояния защищенности сети. Функционал системы MaxPatrolвключает [2]:Комплекс превентивных мероприятий, включающих:систему управления активами — в систему встроен набор сканеров сетевых узлов и модулей для решения задач инвентаризации и проведения аудита различных систем;модуль управления уязвимостями, включающий встроенную базу знаний PT KnowledgeBase (далее PT KB), в которую вносится информация об уязвимостях с открытых баз данных (например, база данных CVE), сторонних вендоров ИБ (Kaspersky, Group-IB) и из собственной базы данных уязвимостей;Посредством сканера безопасностиMaxPatrol SIEM возможна организация полного цикла работы с данными о событиях информационной безопасности, что предполагает следующие этапы: - Сбор данных о событиях в информационной системе от различных внешних источников. В стандартном комплекте поставки MaxPatrol SIEM поддерживаются следующие форматы и протоколы: Syslog, посредством которого осуществляется пассивный сбор событий по протоколу Syslog; WindowsEventLog, в который входит информация о событиях WindowsEventlog; WindowsFilelog, в который входят данные о событиях из файлов MicrosoftWindows; Windows WMI log, в котором содержатся данные о событиях WindowsEventlog через WMI; системы NetFlow, в которой осуществляется пассивный сбор данных о событиях по протоколу NetFlow; ODBC Log, содержащий информацию о событиях, связанных с доступом к СУБД; SSH FileLog — данные о событиях из файлов по протоколу SSH; CheckPoint LEA — сбор данных от устройств CheckPoint по протоколу OPSEC; SNMP Traps — пассивный сбор данных по протоколу SNMP. При сборе информации из файлов поддерживается разбор простых текстовых файлов, форматов JSON, TABULAR и WindowsEventLog. Несмотря на относительно небольшой, по сравнению с конкурентами, набор готовых коннекторов к целевым системам «из коробки», специалисты PositiveTechnologies при проведении пилотных проектов и внедрений готовы реализовать поддержку любых источников данных, используемых заказчиком, в рамках технической поддержки. Нормализация событий для приведения их к общему стандарту и подготовке к дальнейшей обработке. Каждое событие безопасности проходит через специальную формулу нормализации и преобразовывается в структурированный объект. У объектов событий есть обязательные параметры — дата/время, идентификатор, актив (объект), к которому относится событие, тип действия и статус. Заполнение дополнительных параметров проводится в зависимости от характера события, связанного с системой информационной безопасности. Имеется возможность редактирования формул нормализации. Сервис фильтрации событий предполагает возможности удаления лишних событий, не имеющих отношения к информационной безопасности. Сервис агрегации предполагает возможности удаления и объединения повторяющихся событий для сокращения объемов хранения данных. Сервис корреляции предполагает проведение анализа взаимосвязей между различными событиями по определенным правилам с автоматическим созданием данных об инцидентах при срабатывании правил. Хранение — ведение архива событий и срезов состояний наблюдаемых систем для проведения глубокого анализа и расследования возможных инцидентов безопасности.Таким образом, с помощью системыMaxPatrolвозможно проведениесканирования всей корпоративной IT-инфраструктуры, включающей сетевое оборудование, сервера на платформахLinux и Windows, и рабочие станции с установленнымипрограммными продуктами.С помощью системы MaxPatrol 8 возможно проведение инвентаризации, технического аудита и контроля соответствия и изменений в информационных системах. ВсистемеMaxPatrol 8 реализована система отчётности, в которой отображается информация о найденных уязвимостях информационной системы. В системе MaxPatrol 8 не используются агентыдля сканирования, что позволяет упростить задачу развертывания ПО. Серверная часть приложения включает:- систему управления;- базу знаний, содержащуюданные о проведенных проверках, обнаруженных уязвимостях и стандартах;- базу данных, в которой содержатся данные об истории сканирования;- программные модули сканирования системы.На рисунке 2 приведен режим запуска сканирования. Рисунок – Режим запуска сканированияВ сканере предусматривается наличие нескольких предустановленных профилей. Запуск задачи сканирования сети возможен по расписанию, возможно его применение на отдельных группах серверов или рабочих станций. Это позволяет работать с гранулированными политиками, в задачах которых будут только те сервисы, которые применимы к определенному сетевому узлу. Это позволяет грамотно выделять ресурсы для сканирования.На рисунке 3 приведен режим запуска сканирования. Рисунок – Режим запуска сканированияНа рисунке 4 приведен результат сканирования сети.Рисунок – Режим сканирования сетиУстранение обнаруженных уязвимостей возможно при использовании дополнительных программных средств, позволяющих провести анализ состояния системы (например, антивирусного ПО).ЗаключениеПолитика информационной безопасности в информационных системах предприятий имеет множество аспектов и в рамках одной дипломной работы невозможно охарактеризовать ее в полном объеме.В рамках данной работы рассмотрены анализа системы защиты информации при использовании электронной почты.В ходе работы над проектом был проведен анализ специфики использования систем электронной почты, проанализированы основные виды уязвимостей. Показано, что комплексная система защиты информации включает в себя организационных и технологические решения. Пренебрежение каким-либо из компонент комплексной системы защиты информации повышает уязвимость информационной системы в целом.Основные угрозы, связанные с использованием электронной почты, обусловлены наличием СПАМ-рассылок, содержащихся в почтовых сообщениях. Данная опасность связана с тем, что в письмах подобного рода могут содержаться либо вредоносные объекты, либо ссылки на фишинговые информационные ресурсы, ресурсы, связанные с проведением мошеннических операций, а также на ресурсы, загружающие на компьютер пользователя вредоносный контент. Защита в данном случае возможна: на уровне почтовых серверов, проводящих отсеивание СПАМ-сообщений, на уровне клиентов, что предполагает анализ содержимого сообщений и отнесения их, при необходимости, к категории СПАМа по критериям, определённым пользователями. В качестве мер обеспечения защиты информации при использовании электронной почты были предложены:- внедрение средств защиты от спама;- настройка системы антивирусной защиты;- разработка регламентирующих документов в области использования средств электронной почты;- внедрение системы защиты каналов передачи данных;- внедрение системы сканирования уязвимостей почтовых серверов.Список использованных источниковАнтивирус Касперского для почтовых серверов. [Электронный ресурс]. Режим доступа: https://store-kaspersky.ru/antiviruses/dlya_biznesa/kaspersky_security_dlya_pochtovykh_serverov_lic/?yclid=1142489217839938507#KL4313RAKFSСПАМ и фишинг в 2019г.[Электронный ресурс]. Режим доступа:https://securelist.ru/spam-and-phishing-in-q1-2019/93892/Антивирус Касперского для LotusDomino. [Электронный ресурс]. Режим доступа: https://store-kaspersky.ru/virusnews/programsreviews/ antivirus_kasperskogo_dlya_lotus_domino/SPAMTerrier. О программе. [Электронный ресурс]. Режим доступа: https://programnew.ru/antispam/95-spam-terrier.htmlMailWasherPro. [Электронный ресурс]. Режим доступа: https://programnew.ru/antispam/273-firetrust-mailwasher-pro-750-rus-portable.htmlСканер уязвимостей Nessus. Описание. [Электронный ресурс]. Режим доступа: https://networkguru.ru/tenable-nessus-vulnerability-scanner/Сканирование уязвимостей в ИТ-инфраструктуре. Обзор программных продуктов. [Электронный ресурс]. Режим доступа: https://www.anti-malware.ru/reviews/tenable-analysis-security-corporate-infrastructureСравнение программных продуктов – сканеров уязвимостей. [Электронный ресурс]. Режим доступа: https://www.tiger-optics.ru/resources/tenable-sc-maxpatrol/?yclid=1913900678926858974Белобородова Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Белобородова; Минобрнауки России, Федеральное гос. бюджетное образовательное учреждение высш. проф. образования "Ухтинский гос. технический ун-т" (УГТУ). - Ухта : УГТУ, 2016. - 69 с.Кондратьев А. В. Техническая защита информации. Практика работ по оценке основных каналов утечки : [учебное пособие] / А. В. Кондратьев. - Москва : Горячая линия - Телеком, 2016. - 304 с. Бабиева Н. А. Информационная безопасность и защита информации: учебное пособие / Н. А. Бабиева. - Казань: Медицина, 2018. – 127Астахов А.М. Искусство управления информационными рисками. – М.: ДМК Пресс, 2015. – 314 с. Блинов А.М. Информационная безопасность. – СПб: СПбГУЭФ, 2015 - 96с.Шалак М. Е. Архивное дело и делопроизводство: учебное пособие / М. Е. Шалак; РОСЖЕЛДОР. - Ростов-на-Дону : ФГБОУ ВО РГУПС, 2017. - 78 с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2015. – 338с.Гришина Н.В. Комплексная система защиты информации на предприятии. – М.: Форум, 2010. – 240 с.Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.Емельянова Н.З., Партыка Т.Л., Попов И.И. Защита информации в персональном компьютере. – М.: Форум, 2009. – 368 с.Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.Завгородний В.И. Комплексная защита в компьютерных системах: Учебное пособие. – М.: Логос; ПБОЮЛ Н.А.Егоров, 2001. - 264 с.Корнеев И.К, Степанов Е.А. Защита информации в офисе. – М.: ТК Велби, Проспект, 2008. – 336 с.Лопатин Д. В. Программно-аппаратная защита информации: учебное пособие / Лопатин Д. В. - Тамбов: ТГУ, 2014. – 254с.Никифоров С. Н. Защита информации : учебное пособие / С.Н. Никифоров. - Санкт-Петербург :СПбГАСУ, 2017. – 76с.Андрианов В.В., Зефиров С.Л., Голованов В.Б., Голдуев Н.А. Обеспечение информационной безопасности бизнеса. – М.: Альпина Паблишерз, 2011 – 338с.Ожиганов А.А. Криптография: учебное пособие / А.А. Ожиганов. - Санкт-Петербург : Университет ИТМО, 2016. - 142 cНикифоров С. Н. Защита информации. Шифрование: учебное пособие / С. Н. Никифоров, М. М. Ромаданова. - Санкт-Петербург: СПбГАСУ, 2017. - 129Радько, Н.М. Основы криптографической защиты информации [Электронный ресурс]: учебное пособие / Н. М. Радько, А. Н. Мокроусов; Воронеж. гос. техн. ун-т. - Воронеж : ВГТУ, 2014.Герасименко В.А., Малюк А.А. Основы защиты информации. – СПб.: Питер, 2010. – 320сБондарев В. В. Анализ защищенности и мониторинг компьютерных сетей : методы и средства : учебное пособие / В.В. Бондарев. - Москва: Изд-во МГТУ им. Н.Э. Баумана, 2017. – 225с.Шаньгин В.Ф. Информационная безопасность и защита информации [Электронный ресурс]: учебное пособие / В.Ф. Шаньгин. - Саратов: Профобразование, 2017. - 702 c