Критерии и показатели оценивания качества проведения расследования инцидента информационной безопасности при целевой кибератаке

Цели. В настоящее время при нарастающем числе целевых атак задача расследования инцидента информационной безопасности (ИБ) приобретает важное значение. Компьютерные криминалисты, в зависимости от имеющихся средств защиты, применяют программные и программно-аппаратные средства форензики, проводят анализ цифровых артефактов различных операционных систем и сетевого трафика с построением хронологии событий (таймлайна) инцидента. На сегодняшний день отсутствует какой-либо формальный подход к оцениванию эффективности действий специалистов при проведении расследования инцидента ИБ в рамках целевой кибератаки. Целью работы является формирование частных показателей оперативности, результативности и ресурсоемкости в рамках критерия пригодности при расследовании инцидента ИБ.

Методы. Использованы методы теории эффективности целенаправленных процессов, методы экспертных оценок и теории множеств.

Результаты. Проведен анализ актуальных работ в области расследования компьютерных инцидентов. Представлены терминология и основные руководящие документы спецификации проведения расследования инцидента ИБ. Определены примеры цифровых артефактов в виде классификации. Обоснована целесообразность формирования критериев и показателей оценки качества проведения расследования инцидента ИБ. Выбраны критерий пригодности и следующие показатели оценивания качества проведения расследования: показатель результативности (полноты) выявления цифровых артефактов компьютерным криминалистом на основе проведенных мероприятий, показатель ресурсоемкости и показатель оперативности расследования инцидента ИБ.

Выводы. Полученные результаты могут быть использованы не только руководителями подразделений, но и рядовыми специалистами по ИБ для объективного анализа имеющихся программных и человеческих ресурсов, времени, затраченного на эти мероприятия, и выявленных цифровых артефактов в рамках расследования киберинцидента.

1. Смирнов С.И., Еремеев М.А., Горбачев И.Е., Нефедов В.С., Изергин Д.А. Анализ техник и инструментов, используемых злоумышленником при горизонтальном перемещении в корпоративной сети. Защита информации. Инсайд. 2021;1(97):58–61. https://www.elibrary.ru/pltlpq

2. Смирнов С.И. Методика расследования киберинцидента, основанная на интеллектуальном анализе событий безопасности домена. Защита информации. Инсайд. 2022;4(106):60–69. https://www.elibrary.ru/mefhpc

3. Смирнов С.И., Киселев А.Н., Азерский В.Д., Карельский Д.В., Кумуржи Г.М. Комплексная методика проведения расследования инцидента информационной безопасности. Защита информации. Инсайд. 2023;2(110):14–26. https://www.elibrary.ru/fdhgzq

4. Макаренко С.И. Критерии и показатели оценки качества тестирования на проникновение. Вопросы кибербезопасности. 2021;3(43):43–57. https://www.elibrary.ru/udlknn

5. Smirnov S.I., Eremeev M.A., Pribylov I.A. Approach to Recognition of Malicious Behavior Based on Autoregression Model upon Investigation into Cyberincident. Aut. Control Comp. Sci. 2021;55(8):1099–1103. http://doi.org/10.3103/S0146411621080290, https://www.elibrary.ru/ubwpai

6. Зегжда Д.П., Лаврова Д.С., Павленко Е.Ю. Управление динамической инфраструктурой сложных систем в условиях целенаправленных кибератак. Известия РАН. Теория и системы управления. 2020;4(3):50–63. https://doi.org/10.31857/S0002338820020134

7. Калинин В.Н., Ломако А.Г., Овчаров В.А., Петренко С.А. Расследование ИБ-инцидентов с использованием профилирования поведения динамических сетевых объектов. Защита информации. Инсайд. 2018;3(81):58–67. https://www.elibrary.ru/xqlamp

8. Овчаров В.А., Романов П.А. Расследование компьютерных инцидентов на основе идентификации дискретных событий информационной безопасности и обратного анализа по конечным исходам. Труды Военно-космической академии имени А.Ф. Можайского. 2015;648:84–89. https://www.elibrary.ru/uzmkox

9. Ломако А.Г., Овчаров В.А., Петренко С.А. Метод расследования инцидентов безопасности на основе профилей поведения сетевых объектов. В сб.: Дистанционные образовательные технологии: Материалы III Всероссийской научно-практической конференции, 17–22 сентября 2018 г. Ялта: ООО «Издательство Типография «Ариал»; 2018. С. 366–373. https://www.elibrary.ru/uzzdah

10. Саенко И.Б., Лаута О.С., Карпов М.А., Крибель А.М. Модель угроз ресурсам ИТКС как ключевому активу критически важного объекта инфраструктуры. Электросвязь. 2021;1:36–44. https://doi.org/10.34832/ELSV.2021.14.1.004

11. Быстров И.С., Котенко И.В. Анализ моделей поведения пользователей для задачи обнаружения кибер-инсайдеров. В сб.: Актуальные проблемы инфотелекоммуникаций в науке и образовании: сборник научных статей: в 4 т. Т. 1. СПб.: Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича; 2021. С. 139–143. https://www.elibrary.ru/sqzvma

12. Eremeev M.A., Smirnov S.I., Pribylov I.A. Detection of malicious actions of an attacker based on event logs when investigating an ongoing cyber incident. В сб.: Инновационные аспекты развития науки и техники: Сборник статей VII Международной научно-практической конференции. Саратов: НОО «Цифровая наука»; 2021. С. 22–28. https://www.elibrary.ru/ygoyfz

13. Авраменко В.С., Маликов А.В. Нейросетевая модель диагностирования компьютерных инцидентов в инфокоммуникационных системах специального назначения. В сб.: Проблемы технического обеспечения войск в современных условиях: Труды IV Межвузовской научно-практической конференции. Т. 1. СПб.; 2019. С. 41–45. https://www.elibrary.ru/flomvh

14. Левшун Д.С. Построение модели атакующего для современной киберфизической системы. В сб.: Актуальные проблемы инфотелекоммуникаций в науке и образовании (АПИНО 2020). IX Международная научно-техническая и научно-методическая конференция: сборник научных статей. Т. 1. СПб.: Санкт-Петербургский государственный университет телекоммуникаций им. проф. М.А. Бонч-Бруевича; 2020. С. 679–682. https://www.elibrary.ru/krafgr

15. Петухов Г.Б., Якунин В.И. Методологические основы внешнего проектирования целенаправленных процессов и целеустремленных систем. М.: АСТ; 2006. 504 с.