Просмотр статьи


Номер журнала: 2020.4

Заголовок статьи: Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной безопасности

Резюме

В статье предложен метод экспресс-анализа событий информационной безопасности (ИБ), основанный на представлении инцидента как совокупности событий, состоящих из воздействий на файлы. Метод предполагает применение базы данных шаблонов идентифицированных воздействий, исходными данными для которых являются записи журнала изменений тома файловой системы NTFS – $UsnJrnl. Рассмотрен алгоритм поиска и классификации воздействий на файлы с использованием шаблонов. Предлагаемый метод экспресс-анализа позволяет определить порядок событий в рамках расследуемого инцидента ИБ, сократив количество анализируемых массивов данных до одного – журнала $UsnJrnl.

Авторы

Н. А. Гайдамакин, Р. В. Гибилинда, Н. И. Синадский

Библиография

1. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: ФГУП «Стандартинформ», 2008. 30 с.
2. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздей-ствующие на информацию. Общие положения. М.: ФГУП «Стандартинформ», 2006. 12 с.
3. ГОСТ 33707-2016 (ISO/IEC 2382:2015). Информационные технологии (ИТ). Словарь. М.: ФГУП «Стандартинформ», 2016. 548 с.
4. Стандарт Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной без-опасности организаций банковской системы Российской Федерации. Сбор и анализ тех-нических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» [Электронный ресурс]. URL: http://garant.ru/products/ipo/prime/doc/71457690 (дата обращения: 06.06.2020).
5. Гайдамакин Н. А., Гибилинда Р. В., Синадский Н. И. Событийная модель процесса иден-тификации воздействий на файлы при расследовании инцидентов информационной безопасности, основанная на математическом аппарате сетей Петри // Вестник СибГУТИ. 2020. № 1. С. 73–88.
6. Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom [Электронный ресурс]. URL: https://bleepingcomputer.com/news/security/jigsaw-ransomware-decrypted-will-delete-your-files-until-you-pay-the-ransom (дата обращения: 06.06.2020).
7. Dwyer J., Marius Truta T. Finding Anomalies in Windows Event Logs Using Standard Deviation // 9th IEEE International on Collaborative Computing: Networking, Applications and Workshar-ing. 2013. P. 563–570.
8. Бакланов В. В., Князева Н. С., Хорьков Д. А. Анализ временных отметок файловой си-стемы NTFS в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. 2012. № 4. С. 25–32.
9. UsnJrnl Parsing for File System History Project Report [Электронный ресурс]. URL: https://delaat.net/rp/2015-2016/p18/report.pdf (дата обращения: 06.06.2020).
10. USN_RECORD_V2 – Win32 apps [Электронный ресурс]. URL: https://docs.micro soft.com/en-us/windows/win32/api/winioctl/ns-winioctl-usn_record_v2 (дата обращения: 06.06.2020).

Ключевые слова

расследование инцидентов информационной безопасности, событие информационной безопасности, воздействие на файл, шаблон воздействия на файл

Скачать полный текст