Метод экспресс-анализа событий, связанных с воздействиями на файлы, предназначенный для расследования инцидентов информационной безопасности

В статье предложен метод экспресс-анализа событий информационной безопасности (ИБ), основанный на представлении инцидента как совокупности событий, состоящих из воздействий на файлы. Метод предполагает применение базы данных шаблонов идентифицированных воздействий, исходными данными для которых являются записи журнала изменений тома файловой системы NTFS - $UsnJml. Рассмотрен алгоритм поиска и классификации воздействий на файлы с использованием шаблонов. Предлагаемый метод экспресс-анализа позволяет определить порядок событий в рамках расследуемого инцидента ИБ, сократив количество анализируемых массивов данных до одного - журнала $UsnJml.

расследование инцидентов информационной безопасности, событие информационной безопасности, воздействие на файл, шаблон воздействия на файл

1. ГОСТ Р 53114-2008. Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения. М.: ФГУП «Стандартинформ», 2008. 30 с.

2. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: ФГУП «Стандартинформ», 2006. 12 с.

3. ГОСТ 33707-2016 (ISO/IEC 2382:2015). Информационные технологии (ИТ). Словарь. М.: ФГУП «Стандартинформ», 2016. 548 с.

4. Стандарт Банка России СТО БР ИББС-1.3-2016 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Сбор и анализ технических данных при реагировании на инциденты информационной безопасности при осуществлении переводов денежных средств» [Электронный ресурс]. URL: http://gar-ant. ru/products/ipo/prime/doc/714 57 690 (дата обращения: 06.06.2020).

5. Гайдамакин Н. А., Гибилинда Р. В., Синадский Н. И. Событийная модель процесса идентификации воздействий на файлы при расследовании инцидентов информационной безопасности, основанная на математическом аппарате сетей Петри // Вестник СибГУТИ. 2020. № 1. С. 73-88.

6. Jigsaw Ransomware Decrypted: Will delete your files until you pay the Ransom [Электронный ресурс]. URL: https ://bleepingcomputer. com/news/security/jigsaw-ransom-ware-decrypted-will-delete-your-files-until-you-pay-the-ransom (дата обращения: 06.06.2020).

7. Dwyer J., Marius Truta T. Finding Anomalies in Windows Event Logs Using Standard Deviation // 9th IEEE International on Collaborative Computing: Networking, Applications and Worksharing. 2013. P. 563-570.

8. Бакланов В. В., Князева Н. С., Хорьков Д. А. Анализ временных отметок файловой системы NTFS в операционной системе Microsoft Windows XP // Проблемы информационной безопасности. Компьютерные системы. 2012. № 4. С. 25-32.

9. UsnJrnl Parsing for File System History Project Report [Электронный ресурс]. URL: https://delaat.net/rp/2015-2016/p18/report. pdf (дата обращения: 06.06.2020).

10. USN_RECORD_V2 - Win32 apps [Электронный ресурс]. URL: https://docs.micro soft.com/en-us/windows/win32/api/winioctl/ns-winioctl-usn record v2 (дата обращения: 06.06.2020).