Исследование вопросов аудита информационной безопасности автоматизированного рабочего места пользователя по данным системного реестра

DOI:

Аудит информационной безопасности – независимая оценка текущего состояния системы информационной безопасности, устанавливающая уровень ее соответствия определенным критериям, и предоставление результатов в виде рекомендаций [3].

Важнейшим компонентом ОС Windows, а значит, и автоматизированного рабочего места (далее – АРМ) является системный реестр – сложный, многоплановый механизм, в котором протекают жизненно важные процессы ОС [2], аудит которого необходим для ее безопасного и стабильного функционирования.

Согласно PricewaterhouseCoopers, лидирующие позиции виновников нарушения информационной безопасности занимают действующие сотрудники организации. В первой половине 2015 г. зарегистрировано 954 (65 %) утечки информации, причиной которых стал внутренний нарушитель. В 233 (32 %) случаях она произошла из-за внешних воздействий. Для некоторых случаев (2,6 %) установить вектор воздействия (направление атаки) оказалось невозможно.

В случае внешних атак преступник с помощью вредоносного программного обеспечения (далее – ВПО) ищет уязвимости в информационной структуре, которые могут предоставить ему доступ к хранилищам данных, ключевым узлам внутренней сети, локальным компьютерам сотрудников. Излюбленным местом обитания ВПО являются ключи системного реестра.

В 2015 г. каждый третий компьютер в бизнес-среде был подвергнут хотя бы одной атаке через Интернет. В таблице 1 представлено расположение популярного ВПО в ключах системного реестра.

Локальные угрозы были обнаружены на 41 % компьютеров корпоративных пользователей. Статистика представлена в таблице 2.

Защита ПО от несанкционированного доступа и воздействия вредоносного кода при установке и использовании АРМ пользователя является основной частью общей задачи обеспечения безопасности информации предприятия. Наряду с применением систем защиты информации от вредоносного кода и несанкционированного доступа необходимо выполнение целого ряда мер, которые включают в себя:

– организационно-технические;

– административные мероприятия [4].

Одним из таких мероприятий является обеспечение аудита информационной безопасности по данным системного реестра на установленном АРМ.

Аудит представляет собой независимую экспертизу отдельных областей функционирования организации. Существует два вида аудита: внешний и внутренний. Аудит информационной безопасности по данным системного реестра на установленном АРМ является мероприятием, которое относится к внутреннему аудиту [1].

Для защиты системного реестра от вредоносных атак необходимо контролировать нежелательные действия, происходящие в реестре во время установки каждой новой программы. Сделать это вручную невозможно, так как реестр содержит миллионы записей. Поэтому необходимо проанализировать существующее внешнее программное обеспечение, предназначенное для аудита информационной безопасности системного реестра на АРМ пользователя (см. табл. 3).

Анализ существующего ПО показал, что имеет место необходимость в создании нового программного комплекса аудита информационной безопасности АРМ пользователя по данным системного реестра.

Программный комплекс должен включать два режима работы:

• 1.    Ручной режим полного аудита системного реестра. Ручной режим включает в себя функцию установки таймера на проведение аудита. Отчетность сохраняется в отдельную базу данных. Минусом данного режима является то, что он слишком ресурсоемкий в плане потребления ресурсов ПК и времени проведения аудита.

• 2.    Решением проблемы большого ресурсопотребления ручного режима является автоматический, выдержанный по времени аудит определенного набора ключей системного реестра. Данный набор будет составляться согласно расположению в ключах реестра актуального ВПО, а также по инициативе специалистов в области информационной безопасности и системных администраторов.

Перед проведением аудиторской проверки необходимо сформировать модель требуе- мого состояния ключей системного реестра. В общем виде ее можно представить как:

F = F ⁽ X j ) ,               (1)

где

X j = ⁽ У ₄, k_v , z jj ) ,                  ⁽²⁾

где X_ij – требуемые параметры i -го ключа в j -ном разделе системного реестра; y_ij – требуемое имя i -го ключа в j -ном разделе системного реестра; k_ij – требуемый тип i -го ключа в j -ном разделе системного реестра; z_ij – требуемое значение i -го ключа в j -ном разделе системного реестра.

Процесс проведения аудита системного реестра в ручном режиме работы программы описывается следующей моделью:

F‘ * = F * ( X_y )- (3) где

• X i, । У ,, , k„, z j ) , ⁽⁴⁾ где X_ij – полученные параметры i -го ключа в j -ном разделе системного реестра; y_ij – полученное имя i -го ключа в j -ном разделе системного реестра; k_ij – полученный тип i -го ключа в j -ном разделе системного реестра; z_ij – полученное значение i -го ключа в j -ном разделе системного реестра.

В процессе аудиторской проверки происходит сравнение значений ключей требуемого состояния с полученными в ходе проверки данными.

При формировании модели требуемого состояния ключей системного реестра для

Таблица 1

Сводная таблица популярного ВПО, передающегося через Интернет, и его расположения в реестре

№ Название Атакуемые пользователи, % Расположение в системном реестре 1 Malicious URL 57,0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Services 2 Trojan.Script. Generic 24,7 HKEY_LOCAL_MACHINE\SOFTWARE\Classes Ключи реестра, прописывающие работу браузера 3 Trojan.Script. Iframer 16,0 HKLM\SYSTEM\CurrentControlSet\Control\Power\ User\PowerSchemes Ключи реестра, прописывающие работу браузера. HKEY_CURRENT_USER\Software\Microsoft\ Protected Storage System Provider 4 Exploit.script. blocker 4,1 HKEY_LOCAL_MACHINESYSTEMCurrentControl SetControlLsa 5 Trojan.Win32. Generic 2,5 HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon HKEY_USERS \ DEFAULT \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings HKEY_LOCAL_MACHINE \ SYSTEM \ Control-Set001 \ Services \ svflooje \ Enum 6 Net–worm.Win32. kido.ih 2,3 HKEY_USERS\Software\Microsoft\Windows\Current Version\Explorer\Browser Helper Objects HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\Ext\Stats 7 Trojan–Downloader. JS.Iframe.dig 2,0 Ключи реестра, описывающие работу браузера 8 Exploit.Script. Generic 1,2 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer\run\ 9 Packed.Multi.Multi Packed.gen 1,0 HKEY_CURRENT_USER\Software\ Microsoft\Protected Storage System Provider 10 Trojan– Dowloader.Script. Generic 0,9 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\ CurrentVersion\Run проведения аудиторской проверки в автоматическом режиме необходимо учитывать данные таблиц 1 и 2.

F * = F* • ( X ) X j e V , (5) где

X =⁽ у , , k j , z j ) , ⁽⁶⁾ где X_ij – требуемые параметры i -го ключа в j -ном разделе системного реестра; V – определенный набор ключей, предназначенный для автоматического режима работы программного комплекса; y_ij – требуемое имя i -го ключа в j -ном разделе системного реестра; k_ij – требуемый тип i -го ключа в j -ном разделе системного реестра; z_ij – требуемое значение i -го ключа в j -ном разделе системного реестра.

Формализованная модель процесса аудиторской проверки системного реестра для автоматического режима:

F* a = F* -⁽ X j ), X , e V , (7)

где

X j =⁽ y , , k j , z j ) , ⁽⁸⁾

где X_ij – полученные параметры i -го ключа в j -ном разделе системного реестра; V – определенный набор ключей, предназначенный для автоматического режима работы программного комплекса; y_ij – полученное имя i -го ключа в j -ном разделе системного реестра; k_ij – полученный тип i -го ключа в j -ном разделе системного реестра; z_ij – полученное значение i -го ключа в j -ном разделе системного реестра.

В процессе аудиторской проверки происходит сравнение значений ключей требуемого состояния с полученными в ходе проверки данными.

Построение архитектуры на этапе разработки программы является неотъемлемой частью ее успешного функционирования. Ар-

Таблица 2

Сводная таблица популярного локального ВПО и его расположения в реестре

№ Название Атакуемые пользователи, % Расположение в системном реестре 1 Dangerousobject. Multi.Generic 23,1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\System 2 Trojan.Win32. Generic 18,8 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon HKEY_USERS\DEFAULT\Software\Microsoft\ Windows\CurrentVersion\Internet Settings\ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ Services\svflooje\Enum\ 3 Trojan.Winlnk. Startpage.Gena 7,2 HKCU\Software\Microsoft\Internet Explorer\Main HKCU\Software\Microsoft\Internet Explorer\SearchURL 4 Trojan.Win32. Autorun.gen 4,8 HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce 5 Worm.Vbs. Dinihou.r 4,6 HKLM\Software\Microsoft\Windows\CurrentVersion\Run HKCR\WSFFile\Shell\Open\Command 6 Networm.Win32. Kido.ih 4,0 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\SvcHost 7 Virus.Win32. Sality. Gen 4,0 HKEY_CURRENT_USER\Software\Microsoft\- Windows\CurrentVersion\Internet Settings HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\policies\system 8 Trojan.Script. generic 2,9 HKEY_LOCAL_MACHINE\SOFTWARE\Classes Ключи реестра, прописывающие работу браузера 9 Dangerouspattern. Multi.Generic 2,7 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Policies\System 10 Worm.Win32. Debris.a 2,6 HKLM\SYSTEM\CurrentControlSet\Hardware Profiles хитектура программного комплекса представлена на рисунке 1.

Архитектура разработанной программы состоит из следующих функциональных блоков:

• а)    пользовательский интерфейс;

• б)    ручной режим:

• 1)    модуль запоминания значений ключей реестра – предназначен для сбора сведений о

Таблица 3

Особенности	Программное обеспечение
	RegShot	RegistryMonitor	RegistryAlert	RegFromApp
Страна-производитель	Китай	США	CША	Англия
Процесс работы	Вручную	Вручную	Автоматический	Автоматический
Возможность выбора аудита отдельных разделов реестра	Да	Да	Нет	Нет
Автоматическое оповещение об обнаруженных изменениях в реестре	Нет	Да	Нет	Да
Способ создания эталонной модели	Снимок экрана	Снимок экрана	Не использует	Снимок экрана
Формирование отчета в HTML и текстовые форматы	Да	Нет	Нет	Да
Возможность хранения отчетов в базе данных	Нет	Нет	Нет	Нет
Демонстрация приложений обращающихся в реестр	Да	Да	Нет	Нет
Остановка процесса аудита при обнаружении проблем в реестре	Нет	Нет	Да	Нет
Язык интерфейса	Многоязычная поддержка	Английский	Английский	Многоязычная поддержка

Сравнение внешнего ПО

Рис. 1. Архитектура программного комплекса аудита информационной безопасности по данным системного реестра на АРМ

системном реестре и создания эталонной модели состояния системного реестра;

• 2)    модуль аудиторской проверки – предназначен для получения объективной и независимой оценки степени изменений состояния системного реестра и сравнения его с требуемым состоянием;

• 3)    база данных ручного режима – предназначена для хранения отчетности о результатах проведения аудиторской проверки в ручном режиме;

• в)    автоматический режим:

• 1)    модуль установки общих параметров – предназначен для ввода ключей, установки таймера и других функций;

• 2)    модуль создания модели требуемого состояния – предназначен для сканирования и запоминания значений ключей системного реестра;

• 3)    модуль аудиторской проверки – предназначен для получения объективной и независимой оценки степени изменений состояния системного реестра и сравнения его с требуемым состоянием;

• 4)    модуль принятия решений – содействует оператору АРМ при выборе дальнейших

действий после проведения аудиторской проверки;

• 5)    база данных автоматического режима – предназначена для хранения отчетности о результатах проведения аудиторской проверки в автоматическом режиме.

В процессе систематической аудиторской проверки в автоматическом режиме пять раз в день в течение шестидневной рабочей недели программным комплексом RegWatcher была составлена статистика выявленных несоответствий требуемого состояния системного реестра с полученным. Данные представлены на рисунке 2.

В результате по итогам проведения аудиторской проверки с помощью разработанной программы было выявлено 15 изменений, 2 из которых являлись потенциально опасными для стабильной работы АРМ пользователя.