RU2813469C1

RU2813469C1 - Control system for security policy of elements of corporate communication network

Info

Publication number: RU2813469C1
Application number: RU2023118355A
Authority: RU
Inventors: Михаил Михайлович Добрышин; Дмитрий Евгеньевич Шугуров; Андрей Сергеевич Белов; Владимир Георгиевич Анисимов; Юрий Юрьевич Громов; Сергей Михайлович Климов; Дмитрий Станиславович Мишин; Андрей Викторович Филин
Filing date: 2023-07-12
Publication date: 2024-02-12

Abstract

FIELD: computer engineering.

SUBSTANCE: result is achieved by including into the security policy control system elements of the corporate communication network: a module for processing unstructured data, a module for collecting information on installed software, a module for forming a software interaction structure, a module for analysing a protection surface, a module for forming an attack surface, as well as expansion of functional capabilities of data collection module and administration module.

EFFECT: high validity of forming a security policy of a corporate communication network.

1 cl, 1 dwg

Description

Изобретение относится к вычислительной технике и сфере обеспечения информационной безопасности.The invention relates to computer technology and the field of information security.

В настоящем описании далее будут использоваться следующие термины и определения.In the present description, the following terms and definitions will be used further.

Компьютерная атака – целенаправленное несанкционированное воздействие на информацию, на ресурс информационной системы или получение несанкционированного доступа к ним с применением программных или программно-аппаратных средств.A computer attack is a targeted unauthorized influence on information, on an information system resource, or gaining unauthorized access to them using software or hardware.

Внешние источники данных о компьютерных атаках - ресурсы и сервисы, предоставляющие данные об уязвимостях, эксплоитах, обновлениях безопасности, результатах сканирования внешнего периметра инфраструктуры.External sources of data on computer attacks - resources and services that provide data on vulnerabilities, exploits, security updates, and scanning results of the external perimeter of the infrastructure.

Внутренние источники данных - ресурсы и сервисы, предоставляющие данные от внутренних систем инфраструктуры, в частности, от систем кибербезопасности, ИТ-систем.Internal data sources are resources and services that provide data from internal infrastructure systems, in particular from cybersecurity systems and IT systems.

CVE (англ. Common Vulnerabilities and Exposures) - база данных общеизвестных уязвимостей информационной безопасности. Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер.CVE (Common Vulnerabilities and Exposures) is a database of commonly known information security vulnerabilities. Each vulnerability is assigned an identification number of the form CVE-year-number.

Элементы инфраструктуры (ЭИ) – функциональные и логические ЭИ.Infrastructure elements (EI) – functional and logical EI.

Функциональные ЭИ – ЭИ включающие в себя активы инфраструктуры (АИ), представляющие собой оконечное физическое или виртуальное оборудование предоставляющее услугу/сервис, выполняющие заданные функции внутри инфраструктуры, например: виртуальные машины, серверное оборудование, ПЭВМ, устройства самообслуживания (банкоматы, терминалы), и т.д.; а также сетевые элементы инфраструктуры – промежуточные устройства (фаерволы, балансировщики, маршрутизаторы и пр.), обеспечивающие сетевое взаимодействие между всеми функциональными элементами инфраструктуры.Functional EI - EI that includes infrastructure assets (AI), which are terminal physical or virtual equipment that provides a service, performing specified functions within the infrastructure, for example: virtual machines, server equipment, PCs, self-service devices (ATMs, terminals), and etc.; as well as network infrastructure elements - intermediate devices (firewalls, balancers, routers, etc.) that provide network interaction between all functional elements of the infrastructure.

Логические ЭИ – группа функциональных элементов и их логическое объединение, например: автоматизированные системы, функциональные подсистемы, сервисы.Logical EI is a group of functional elements and their logical combination, for example: automated systems, functional subsystems, services.

Известна «Система интеллектуального управления киберугрозами» (Патент RU № 2702269 C1, G06F 21/50 (2013.01), G06F 16/22 (2019.01), G06F 7/24 (2006.01). Опубликовано: 07.10.2019 Бюл. № 28. Заявка: 2019117226, 04.06.2019) содержащая: по меньшей мере один процессор, обеспечивающий обработку информационных потоков между модулями системы; по меньшей мере одно средство хранения данных, содержащее машиночитаемые инструкции, исполняемые процессором; модуль получения данных, обеспечивающий сбор информации из внешних и внутренних источников данных, содержащих информацию о киберугрозах; фильтрацию полученных данных и преобразование полученной информации в единый формат представления; модуль обогащения данных, обеспечивающий дополнение данных об индикаторах компрометации киберугроз из внешних источников данных; выполнение поиска и сбора информации о вредоносном коде, связанном с известными киберугрозами; обновление информации о кибербезопасности, включающей по меньшей мере сведения: об уязвимости используемого программного обеспечения, о наличии вредоносного кода, связанного с по меньшей мере одной уязвимостью, и информацию об обновлении по меньшей мере одного программного обеспечения, обеспечивающего защиту от по меньшей мере одного типа уязвимости; выявление учетных записей пользователей, которые были задействованы при взаимодействии с ресурсами, связанными с индикаторами компрометации, информация по которым хранится в базе данных; базу данных, обеспечивающую хранение актуальной информации о киберугрозах, передаваемую от модулей получения данных и модуля обогащения данных; модуль интеграции, обеспечивающий передачу в унифицированном формате данных о киберугрозах во внутренние источники; модуль аналитики, обеспечивающий выполнение анализа уязвимостей ИТ-инфраструктуры в подключенных к модулю интеграции системах; выявление и отображение неявных связей между информационными сущностями, относящимися к по меньшей мере одному типу киберугрозы, с помощью анализа цепочек связей между упомянутыми сущностями и поиском общих узлов упомянутых сущностей.The “System for Intelligent Cyber Threat Management” is known (RU Patent No. 2702269 C1, G06F 21/50 (2013.01), G06F 16/22 (2019.01), G06F 7/24 (2006.01). Published: 10/07/2019 Bulletin No. 28. Application: 2019117226, 06/04/2019) containing: at least one processor that provides processing of information flows between system modules; at least one data storage means containing machine-readable instructions executable by the processor; a data acquisition module that ensures the collection of information from external and internal data sources containing information about cyber threats; filtering the received data and converting the received information into a single presentation format; a data enrichment module that provides data on indicators of compromise of cyber threats from external data sources; searching and collecting information about malicious code associated with known cyber threats; an update of cybersecurity information that includes at least information about the vulnerability of the software being used, the presence of malicious code associated with at least one vulnerability, and information about the update of at least one software that provides protection against at least one type of vulnerability ; identification of user accounts that were involved in interaction with resources associated with indicators of compromise, information on which is stored in the database; a database that provides storage of up-to-date information about cyber threats transmitted from data acquisition modules and data enrichment modules; an integration module that ensures the transfer of data on cyber threats to internal sources in a unified format; an analytics module that provides analysis of IT infrastructure vulnerabilities in systems connected to the integration module; identifying and displaying implicit connections between information entities related to at least one type of cyber threat by analyzing the chains of connections between the mentioned entities and searching for common nodes of the mentioned entities.

Известна «Система компьютерной безопасности, основанная на искусственном интеллекте» (Патент RU № 2750554 C2, G06N 5/02 (2006.01), G06F 21/50 (2013.01), G06F 21/51 (2013.01), G06F 21/53 (2013.01), G06F 21/54 (2013.01), G06F 21/55 (2013.01), G06F 21/56 (2013.01), G06F 21/57 (2013.01). Опубликовано: 29.06.2021 Бюл. № 19. Заявка: 2018129947, 24.01.2017), характеризующаяся тем, что система компьютерной безопасности оснащена памятью и процессором, сопряженным с памятью, причем данная система компьютерной безопасности также включает в себя активную защиту критической инфраструктуры посредством обеспечения многоуровневой защиты информации в облачной архитектуре (CIPR/CTIS), которая дополнительно включает в себя: доверенную платформу, представляющую собой сеть агентов, сообщающих о деятельности хакеров; провайдера управляемой сети и услуг безопасности (MNSP), который обеспечивает услуги и решения по управляемому безопасному шифрованию, подключениям и совместимости; где MNSP соединен с доверенной платформой посредством виртуальной частной сети (VPN), которая предоставляет канал связи с доверенной платформой, a MNSP выполнен с возможностью анализировать весь трафик в сети предприятия, причем трафик направляют в MNSP, который дополнительно включает в себя: логическую защиту и мгновенное реагирование в реальном времени без создания баз данных (LIZARD), которая узнает назначение и функцию внешнего кода и блокирует его в случае наличия злого умысла либо отсутствия обоснованной цели, а также анализирует угрозы сами по себе без обращения к прошлым данным; искусственные угрозы безопасности (AST), которые представляют собой гипотетический сценарий события в системе безопасности для проверки эффективности правил безопасности; творческий модуль, осуществляющий процесс интеллектуального создания новых гибридных форм из существующих форм; обнаружение злого умысла, посредством которого определяют взаимосвязь информации, выделяют образцы поведения, связанного с системой безопасности, проводят регулярные фоновые проверки нескольких подозрительных событий в системе безопасности, а также предпринимают попытки найти взаимосвязь между событиями, на первый взгляд не связанными между собой; поведение системы безопасности, в котором хранятся и индексируются события в системе безопасности, их признаки и отклик на них, причем отклики представляют собой решения как по блокировке, так и по допуску; итеративный рост и развитие интеллекта (I2GE), посредством которого изучают большие данные и распознают сигнатуры вредоносного ПО, а также симулируют потенциальные разновидности данного ПО путем совмещения AST с творческим модулем; память и восприятие, основанные на критическом мышлении (СТМР), посредством которых критически рассматривают решения по блокировке или допуску, а также обеспечивают дополнительный уровень безопасности путем изучения перекрестных данных, предоставляемых I2GE, LIZARD и доверенной платформой, причем СТМР оценивает собственный потенциал в формировании объективного решения по данному вопросу и не навязывает это решение, если оно малонадежно.Known “Computer security system based on artificial intelligence” (RU Patent No. 2750554 C2, G06N 5/02 (2006.01), G06F 21/50 (2013.01), G06F 21/51 (2013.01), G06F 21/53 (2013.01), G06F 21/54 (2013.01), G06F 21/55 (2013.01), G06F 21/56 (2013.01), G06F 21/57 (2013.01) Published: 06/29/2021 Bulletin No. 19. Application: 2018129947, 01/24/2 017) , characterized in that the computer security system is equipped with memory and a processor coupled to the memory, and this computer security system also includes active protection of critical infrastructure by providing multi-level information protection in a cloud architecture (CIPR / CTIS), which additionally includes: a trusted platform, which is a network of agents that report hacker activity; Managed Network and Security Service Provider (MNSP), which provides services and solutions for managed secure encryption, connectivity and interoperability; where the MNSP is connected to a trusted platform through a virtual private network (VPN), which provides a communication channel to the trusted platform, and the MNSP is configured to analyze all traffic on the enterprise network, and the traffic is directed to the MNSP, which additionally includes: logical protection and instant Real-time response without creating databases (LIZARD), which recognizes the purpose and function of external code and blocks it in the event of malicious intent or lack of a justified purpose, and also analyzes threats on their own without resorting to past data; artificial security threats (AST), which present a hypothetical security event scenario to test the effectiveness of security rules; a creative module that carries out the process of intellectual creation of new hybrid forms from existing forms; malicious intent detection, which determines the relationship of information, identifies patterns of behavior related to the security system, conducts regular background checks of several suspicious events in the security system, and also attempts to find relationships between events that at first glance are unrelated; security system behavior, which stores and indexes security system events, their symptoms, and responses to them, with responses representing both blocking and allowing decisions; iterative intelligence growth and evolution (I2GE), through which they study big data and recognize malware signatures, as well as simulate potential variations of this software by combining AST with a creative module; Critical Thinking Memory and Perception (CTRP), which critically examines blocking or admitting decisions, and provides an additional layer of security by examining the cross-section of data provided by I2GE, LIZARD and the Trusted Platform, with CTMR assessing its own potential to formulate an objective decision on this issue and does not impose this decision if it is unreliable.

Известен «Выявление факторов уязвимости безопасности в программных интерфейсах приложения» (Патент RU № 2755675 C2, G06F 11/30 (2006.01), G06F 21/57 (2013.01). Опубликовано: 20.09.2021 Бюл. № 26. Заявка: 2019128540, 12.12.2017) содержащий энергонезависимый машиночитаемый носитель данных, содержащий команды, которые при выполнении процессором приводят к выполнению стадий для автоматизации обнаружения уязвимостей безопасности программного интерфейса приложения (API), включающих: получение информации об API сторонней системы; прием одного или нескольких потоков проверки подлинности для API; генерирование спецификации API на основании полученной информации, причем в спецификации API описывается одна или несколько конечных точек API, причем описание конечной точки API содержит конкретное адресуемое расположение, которое предоставляет доступ к одной или нескольким услугам, связанным с API, условие способа указывает тип взаимодействия с конечной точкой API, и набор входных параметров, который включает в себя виды данных, принятых как входные конечной точкой API; для каждой из одной или нескольких конечных точек API, описанных в спецификации API: для каждого из одного или нескольких потоков проверки подлинности для API: определение на основании информации о потоках проверки подлинности для API и конечной точки API в спецификации API, одной или более уязвимостей безопасности конечной точки API; для каждой определенной одной или более уязвимостей безопасности выполнение задания на первый аудит для конечной точки API для определения указания на то, является ли конечная точка API уязвимой для потенциальной уязвимости безопасности, и выполнение задания на второй аудит для потока проверки подлинности, чтобы определить указание на то, является ли поток проверки подлинности уязвимым для потенциальной уязвимости безопасности, причем выполнение задания на второй аудит включает изменение потока проверки подлинности в зависимости от потенциальной уязвимости безопасности путем удаления одного или более блоков проверки подлинности и тестирования измененного потока проверки подлинности; и запись результатов выполненных первого и второго заданий на аудит; генерирование отчета о сканировании для API на основании записанных результатов; и отправку отчета о сканировании сторонней системе.Known for “Identification of security vulnerability factors in application program interfaces” (Patent RU No. 2755675 C2, G06F 11/30 (2006.01), G06F 21/57 (2013.01). Published: 09.20.2021 Bulletin No. 26. Application: 2019128540, 12.12. 2017) containing a non-volatile computer-readable storage medium containing instructions that, when executed by a processor, cause steps to automate the detection of application programming interface (API) security vulnerabilities, including: obtaining information about a third-party system API; accept one or more authentication flows for the API; generating an API specification based on the received information, wherein the API specification describes one or more API endpoints, wherein the API endpoint description contains a specific addressable location that provides access to one or more API-related services, the method condition specifies the type of interaction with the endpoint the API endpoint, and a set of input parameters that includes the types of data accepted as input by the API endpoint; for each of one or more API endpoints described in the API specification: for each of one or more authentication flows for an API: determination, based on information about the authentication flows for the API and the API endpoint in the API specification, one or more security vulnerabilities API endpoint; for each identified one or more security vulnerabilities, run a first audit job on the API endpoint to determine an indication of whether the API endpoint is vulnerable to a potential security vulnerability, and run a second audit job on the authentication flow to determine an indication that whether the authentication flow is vulnerable to a potential security vulnerability, wherein performing the second audit task includes modifying the authentication flow based on the potential security vulnerability by removing one or more authentication blocks and testing the modified authentication flow; and recording the results of the first and second audit tasks completed; generating a scan report for the API based on the recorded results; and sending a scan report to a third-party system.

Наиболее близким по технической сущности и выполняемым функциям аналогом (прототипом) к заявленной является «Система интеллектуального управления рисками и уязвимостями элементов инфраструктуры» (Патент RU № 2747476 C1, G06F 17/00 (2006.01), G06F 21/00 (2013.01). Опубликовано: 05.05.2021 Бюл. № 13. Заявка: 2020125916, 04.08.2020) содержащая: по меньшей мере один процессор; по меньшей мере одно запоминающее устройство; связанные с упомянутым процессором: модуль сбора данных с источников, выполненный с возможностью получения информации из источников данных, содержащих информацию об уязвимостях элементов инфраструктуры (ЭИ), включающих в себя функциональные и логические ЭИ, при этом функциональные ЭИ представляют собой активы инфраструктуры (АИ), содержащие оконечное физическое или виртуальное оборудование, предоставляющее услугу, и сетевые ЭИ, представляющие устройства, обеспечивающие сетевое взаимодействие между всеми функциональными ЭИ; логические ЭИ представляют собой объединения функциональных ЭИ и логических ЭИ, включающих сущности, взаимодействующие с сетевой инфраструктурой и выбираемые из группы: автоматизированные системы или функциональные подсистемы; модуль управления данными, выполненный с возможностью нормализации данных, собираемых модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа ЭИ; формирование профиля ЭИ, содержащего атрибутный состав ЭИ; модуль обогащения профилей ЭИ, выполненный с возможностью получения данных сканирования от модуля сбора данных для дополнения атрибутного состава сформированных профилей ЭИ информацией, включающей в себя: информацию о возможности сетевого взаимодействия между АИ на основании данных правил безопасности (ACL), а также правил трансляции (NAT) и маршрутизации, определенных на сетевых ЭИ; найденные уязвимости на АИ; данные о критичности функционирования логических ЭИ; сведения о выявленных рисках, а также мероприятиях по их устранению; модуль аналитики, выполненный с возможностью учета, анализа и мониторинга внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей ЭИ; анализа необработанных данных, поступающих из источников данных; управления рисками по найденным уязвимостям; поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы; на основании данных обогащенных профилей ЭИ осуществлять расчёт критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование; формирования списка уязвимых ЭИ и информации об устранениях выявленных уязвимостей с расчетом рейтинга и регистрацией риска выявленных уязвимостей; обработки поступающего потока данных от модуля управления данными и передачи списка ЭИ посредством модуля интеграции сканеру безопасности, осуществляющему сканирование и выявление ЭИ на основании упомянутого списка ЭИ; модуль интеграции, выполненный с возможностью управления режимом устранения выявленных уязвимостей, при котором во внешнюю систему управления обновлениями передаются данные об ЭИ на основании сформированного модулем аналитики списка уязвимых ЭИ для выполнения обновлений уязвимых ЭИ.The closest analogue (prototype) to the declared one in terms of technical essence and functions performed is the “System for intelligent management of risks and vulnerabilities of infrastructure elements” (Patent RU No. 2747476 C1, G06F 17/00 (2006.01), G06F 21/00 (2013.01). Published: 05/05/2021 Bulletin No. 13. Application: 2020125916, 08/04/2020) containing: at least one processor; at least one storage device; associated with the mentioned processor: a module for collecting data from sources, configured to obtain information from data sources containing information about the vulnerabilities of infrastructure elements (EI), including functional and logical EI, while the functional EI are infrastructure assets (AI), containing terminal physical or virtual equipment that provides the service, and network EI, representing devices that provide network interaction between all functional EI; logical EI are combinations of functional EI and logical EI, including entities that interact with the network infrastructure and are selected from the group: automated systems or functional subsystems; a data management module configured to normalize the data collected by the data collection module, ensuring the formation of a unified type of data and the formation of attribute composition depending on the type of EI; formation of an EI profile containing the attribute composition of EI; EI profile enrichment module, configured to receive scanning data from the data collection module to supplement the attribute composition of the generated EI profiles with information, including: information about the possibility of network interaction between AI based on these security rules (ACL), as well as translation rules (NAT) ) and routing defined on network EI; found AI vulnerabilities; data on the criticality of the functioning of logical EI; information about identified risks, as well as measures to eliminate them; an analytics module designed to account for, analyze and monitor the external perimeter of the network infrastructure; search by attribute composition of EI profiles; analyzing raw data coming from data sources; risk management for detected vulnerabilities; search and analysis of network routes between AI to determine possible ways of spreading the threat; based on data from enriched AI profiles, calculate the criticality of vulnerable AI by determining the impact of vulnerabilities on the network infrastructure and its functioning; generating a list of vulnerable EI and information on eliminating identified vulnerabilities with rating calculations and registration of the risk of identified vulnerabilities; processing the incoming data stream from the data management module and transmitting the list of EI through the integration module to the security scanner, which scans and identifies EI based on the said list of EI; an integration module configured to control the mode for eliminating identified vulnerabilities, in which EI data is transferred to an external update management system based on the list of vulnerable EI generated by the analytics module to perform updates of vulnerable EI.

Техническая проблема: низкая обоснованность формирования политики безопасности корпоративной сети связи из-за отсутствия учета техник реализации компьютерных атак и взаимосвязи уязвимостей установленного на элементах инфраструктуры программного обеспечения.Technical problem: low validity of the formation of a security policy for a corporate communication network due to the lack of consideration of techniques for implementing computer attacks and the relationship of vulnerabilities of software installed on infrastructure elements.

Технический результат: повышение обоснованности формирования политики безопасности корпоративной сети связи за счет учета техник реализации компьютерных атак и взаимосвязи уязвимостей установленного на элементах инфраструктуры программного обеспечения.Technical result: increasing the validity of the formation of a security policy for a corporate communication network by taking into account techniques for implementing computer attacks and the relationship of vulnerabilities of software installed on infrastructure elements.

Решение технической проблемы: за счет включения в состав системы контроля политики безопасности элементов корпоративной сети связи: модуля обработки неструктурированных данных, модуля сбора сведений об установленном программном обеспечения, модуль формирования структуры взаимодействия программного обеспечения между собой, модуля анализа поверхности защиты, модуль формирования поверхности атаки, а также расширении функциональных возможностей модуля сбора данных и модуля администрирования.Solving a technical problem: by including elements of a corporate communication network into the security policy control system: a module for processing unstructured data, a module for collecting information about installed software, a module for forming the structure of software interaction with each other, a module for analyzing the protection surface, a module for generating an attack surface, as well as expanding the functionality of the data collection module and the administration module.

Техническая проблема решается за счет разработки системы контроля политики безопасности элементов корпоративной сети связи состоящей из: модуля сбора данных (1.1), позволяющего получать сведения от внешних источников данных (1.2) об известных уязвимостях элементов инфраструктуры и внутренних источников данных (1.3) об активах инфраструктуры сети связи; средства хранения информации (1.6), позволяющего формировать и хранить группу структурированных данных; модуля управления данными (1.7), позволяющего нормализации данных, собираемых модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа ЭИ, а также формирование профиля ЭИ, содержащего атрибутный состав ЭИ; модуля обогащения профилей ЭИ (1.8), выполненный с возможностью дополнения атрибутного состава профиля ЭИ информацией, включающей в себя: информацию о возможности сетевого взаимодействия между АИ, на основании данных правил безопасности (ACL), а также правил трансляции (NAT) и маршрутизации, определенных на сетевых ЭИ; найденные уязвимости на АИ; данные о критичности функционирования логических ЭИ; сведения о выявленных рисках, а также мероприятиях по их устранению; модуля аналитики (1.9), позволяющего учитывать, анализировать и осуществлять мониторинг внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей активов; анализа необработанных данных, поступающих из источников данных управления рисками по найденным уязвимостям; поиска и анализа сетевых маршрутов между АИ для определения возможных путей распространения угрозы; расчета критичности уязвимого АИ за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование, а также режимом устранения уязвимостей, при котором выявляются активы инфраструктуры для устранения найденных на них уязвимостей; модуля визуализации (1.10), обеспечивающего графическое представление обрабатываемых данных, а также формирование виджетов и/или отчетов и/или информационных панелей; модуля администрирования (1.11), обеспечивающего управление политиками доступа, справочниками, настройками существующих модулей системы; модуля интеграции (1.12), обеспечивающего передачу в унифицированном формате данных о компьютерных атаках (КА) во внутреннюю инфраструктуру, и обеспечивает связь с внутренними источниками данных.The technical problem is solved by developing a system for monitoring the security policy of elements of a corporate communication network consisting of: a data collection module (1.1), which allows you to obtain information from external data sources (1.2) about known vulnerabilities of infrastructure elements and internal data sources (1.3) about network infrastructure assets communications; information storage means (1.6), allowing the formation and storage of a group of structured data; data management module (1.7), which allows normalization of data collected by the data collection module, ensuring the formation of a unified type of data and the formation of attribute composition depending on the type of EI, as well as the formation of an EI profile containing the attribute composition of EI; EI profile enrichment module (1.8), configured to supplement the attribute composition of the EI profile with information, including: information about the possibility of network interaction between AI, based on these security rules (ACL), as well as translation (NAT) and routing rules defined on network EI; found AI vulnerabilities; data on the criticality of the functioning of logical EI; information about identified risks, as well as measures to eliminate them; analytics module (1.9), which allows you to take into account, analyze and monitor the external perimeter of the network infrastructure; search by attribute composition of asset profiles; analysis of raw data coming from risk management data sources on identified vulnerabilities; search and analysis of network routes between AI to determine possible ways of spreading the threat; calculating the criticality of vulnerable AI by determining the impact of vulnerabilities on the network infrastructure and its functioning, as well as the vulnerability elimination mode, in which infrastructure assets are identified to eliminate the vulnerabilities found on them; visualization module (1.10), providing a graphical representation of the processed data, as well as the generation of widgets and/or reports and/or information panels; administration module (1.11), which provides management of access policies, directories, settings of existing system modules; integration module (1.12), which ensures the transfer of data on computer attacks (CA) in a unified format to the internal infrastructure, and provides communication with internal data sources.

Согласно изобретению дополнительно: модуль сбора данных (1.1), дополнительно позволят получать сведения от внутренних источников данных (1.3) о составе и режимах работы средств защиты от КА, внешних источников неструктурированных данных (2.1) о ранее неописанных техниках реализации КА и внешних источников данных об известных техниках реализации КА (2.2); модуль обработки неструктурированных данных (2.3), позволяет за счет применения алгоритмов анализа текста выделять и формировать ранее неописанные техники реализации КА из неструктурированных данных расположенных на специализированных информационных ресурсах; модуль сбора сведений об установленном программном обеспечения (2.4), осуществляет инвентаризацию установленного программного обеспечения на каждом средстве обработки, хранения и передачи информации, включая: перечень ПО, версии ПО, версии полученного обновления ПО, общих занимаемых кластеров в долговременной и оперативной памяти, общих протоколов взаимодействия и общих файлов; модуль формирования структуры взаимодействия программного обеспечения между собой (2.5), позволяющего на основе определения общих занимаемых кластеров в долговременной и оперативной памяти, общих протоколов взаимодействия и общих файлов определить возможность взаимодействия между собой; модуль анализа поверхности защиты (2.6), позволяющий сопоставить известные уязвимости элементов инфраструктуры сети и применяемые средства защиты от КА; модуль формирования поверхности атаки (2.7), позволяющего на основе известных и сформированных техник реализации КА, определить возможные траектории реализации КА, сопоставить их с поверхностью защиты, определить возможность реализации каждой из известных КА; модуль администрирования (1.11), дополнительно осуществляет формирование предложений по изменению политики безопасности – дополнения применяемых средств защиты, обновления применяемого программного обеспечения и/или изменения его настроек и конфигурации.According to the invention, additionally: a data collection module (1.1) will additionally allow receiving information from internal data sources (1.3) about the composition and operating modes of protection against spacecraft, external sources of unstructured data (2.1) about previously undescribed techniques for implementing spacecraft and external sources of data about known techniques for implementing CA (2.2); module for processing unstructured data (2.3), allows, through the use of text analysis algorithms, to isolate and generate previously undescribed techniques for implementing CA from unstructured data located on specialized information resources; module for collecting information about installed software (2.4), carries out an inventory of installed software on each means of processing, storing and transmitting information, including: list of software, software version, version of the received software update, common occupied clusters in long-term and RAM, common protocols interactions and shared files; module for forming the structure of software interaction with each other (2.5), which allows, based on determining the common occupied clusters in long-term and RAM, common interaction protocols and common files, to determine the possibility of interaction with each other; protection surface analysis module (2.6), which allows you to compare known vulnerabilities of network infrastructure elements and applied means of protection against spacecraft; module for generating an attack surface (2.7), which allows, based on known and developed techniques for implementing a spacecraft, to determine possible trajectories of the implementation of a spacecraft, compare them with the defense surface, and determine the possibility of implementing each of the known spacecraft; The administration module (1.11) additionally generates proposals for changing the security policy - adding to the applied protection tools, updating the applied software and/or changing its settings and configuration.

Система может выполняться на базе одного или нескольких вычислительных устройств, с программной или программно-аппаратной реализацией модулей системы. Каждый модуль системы при этом может выполняться в виде ПЛИС, SoC (система на чипе), микроконтроллера, логических вентилей, программной логики и т.п. В общем случае необходимые процессы вычислительной логики в системе осуществляются с помощью одного или нескольких процессоров, которые обрабатывают команды, передаваемые по общей информационной шине, данных между модулями системы.The system can be executed on the basis of one or more computing devices, with software or hardware-software implementation of system modules. Each module of the system can be implemented in the form of an FPGA, SoC (system on a chip), microcontroller, logic gates, program logic, etc. In the general case, the necessary processes of computational logic in the system are carried out using one or more processors that process commands transmitted via a common information bus between system modules.

Перечисленная новая совокупность существенных признаков обеспечивает повышение обоснованности формирования политики безопасности корпоративной сети связи за счет учета техник реализации компьютерных атак и взаимосвязи уязвимостей установленного на элементах инфраструктуры программного обеспечения.The listed new set of essential features ensures an increase in the validity of the formation of a security policy for a corporate communication network by taking into account techniques for implementing computer attacks and the relationship of vulnerabilities of software installed on infrastructure elements.

Проведенный анализ уровня техники позволил установить, что аналоги, характеризующиеся совокупностями признаков, тождественным всем признакам заявленной системы, отсутствуют. Следовательно, заявленное изобретение соответствует условию патентоспособности «новизна».The analysis of the state of the art made it possible to establish that there are no analogues characterized by sets of features identical to all the features of the claimed system. Consequently, the claimed invention meets the patentability condition of “novelty”.

«Промышленная применимость» разработанной системы обусловлена наличием элементной базы, на основе которой могут быть выполнены устройства, реализующие данную систему с достижением указанного в изобретении результата.The “industrial applicability” of the developed system is due to the presence of an elemental base on the basis of which devices that implement this system can be made to achieve the result specified in the invention.

Результаты поиска известных решений в данной и смежной областях техники с целью выявления признаков, совпадающих с отличительными от прототипов признаками заявленного изобретения, показали, что они не следуют явным образом из уровня техники. Из определенного заявителем уровня техники не выявлена известность влияния предусматриваемых существенными признаками заявленного изобретения на достижение указанного технического результата. Следовательно, заявленное изобретение соответствует условию патентоспособности «изобретательский уровень».The results of a search for known solutions in this and related fields of technology in order to identify features that coincide with the features of the claimed invention that are distinctive from the prototypes, showed that they do not follow explicitly from the prior art. The prior art determined by the applicant does not reveal the impact of the essential features of the claimed invention on achieving the specified technical result. Therefore, the claimed invention meets the patentability requirement of “inventive step”.

Заявленные объекты системы поясняются:The declared objects of the system are explained:

Фиг.1 – структурная схема системы контроля политики безопасности элементов корпоративной сети связи.Figure 1 is a block diagram of the system for monitoring the security policy of elements of a corporate communication network.

Система контроля политики безопасности элементов корпоративной сети связи (фиг. 1) состоит из:The system for monitoring the security policy of elements of the corporate communication network (Fig. 1) consists of:

модуля сбора данных (1.1), соединенного через общую информационную шину с внешними источниками данных (1.2) об известных уязвимостях элементов инфраструктуры (например, MaxPatrol, Tenable, Qualys, Rapid7 Nexpose, Nmap, Acunetix и др.), внутренними источниками данных (1.3) об активах инфраструктуры сети связи (SCCM, uCMDB, HPSM, EMM (Enterprise Mobility Management - AirWatch), AD (Active Directory)), локальные сенсоры и др, внешними источниками неструктурированных данных (2.1) и внешними источниками данных об известных техниках реализации КА (2.2), модулем сбора сведений об установленном программном обеспечения (2.4), а также с средством хранения информации (1.6).data collection module (1.1), connected through a common information bus with external data sources (1.2) about known vulnerabilities of infrastructure elements (for example, MaxPatrol, Tenable, Qualys, Rapid7 Nexpose, Nmap, Acunetix, etc.), internal data sources (1.3) about communication network infrastructure assets (SCCM, uCMDB, HPSM, EMM (Enterprise Mobility Management - AirWatch), AD (Active Directory)), local sensors, etc., external sources of unstructured data (2.1) and external sources of data about known techniques for implementing spacecraft ( 2.2), a module for collecting information about installed software (2.4), as well as an information storage facility (1.6).

Средство хранения информации (1.6) через модуль интеграции (1.12) и общую информационную шину предоставляет доступ модулю управления данными (1.7), модулю обогащения профилей ЭИ (1.8), модулю аналитики (1.9), модулю обработки неструктурированных данных (2.3), модулю формирования структуры взаимодействия программного обеспечения между собой (2.5), модулю анализа поверхности защиты (2.6), модулю формирования поверхности атаки (2.7).The information storage tool (1.6) through the integration module (1.12) and the common information bus provides access to the data management module (1.7), the EI profile enrichment module (1.8), the analytics module (1.9), the unstructured data processing module (2.3), the structure formation module interaction of software with each other (2.5), protection surface analysis module (2.6), attack surface generation module (2.7).

Также средство хранения информации (1.6) соединенного через общую информационную шину с модулями визуализации (1.10) и администрирования (1.11) политики безопасности корпоративной сети связи.Also a means of storing information (1.6) connected through a common information bus with modules for visualization (1.10) and administration (1.11) of the security policy of a corporate communication network.

Система контроля политики безопасности элементов корпоративной сети связи функционирует следующим образом: The security policy control system for elements of the corporate communication network functions as follows:

по средствам передачи управляющих команд от модуля сбора данных с источников (1.1) на: by means of transmitting control commands from the module for collecting data from sources (1.1) to:

внутренние источники данных об активах корпоративной сети связи (1.3) с целью инвентаризации элементов инфраструктуры сети, которые включают в себя сведения о применяемых средствах обработки, хранения и передачи информации, их технических характеристиках, физических и логических соединений ЭИ между собой, значения используемых информационных потоков и пропускной способности линий связи;internal sources of data about the assets of the corporate communication network (1.3) for the purpose of inventorying the elements of the network infrastructure, which include information about the means used for processing, storing and transmitting information, their technical characteristics, physical and logical connections of electronic equipment to each other, the meaning of the information flows used and communication line capacity;

модуль сбора сведений об установленном программном обеспечения (2.5) с целью получения сведений об установленном на каждом ЭИ программном обеспечении включая сведения о версиях ПО, версиях обновлений, общих занимаемых кластеров в долговременной и оперативной памяти, общих протоколов взаимодействия и общих файлов, а также составе и режимах работы средств защиты от КА установленных на каждом из элементов инфраструктуры;module for collecting information about installed software (2.5) in order to obtain information about the software installed on each EI, including information about software versions, update versions, common occupied clusters in long-term and RAM memory, common interaction protocols and common files, as well as the composition and operating modes of anti-spacecraft protection equipment installed on each of the infrastructure elements;

внешние источники данных об уязвимостях (1.2), с целью получения атрибутов описывающих общеизвестные уязвимости информационной безопасности (CVE);external sources of data on vulnerabilities (1.2), in order to obtain attributes describing well-known information security vulnerabilities (CVE);

внешние источники данных о техниках реализации КА (2.2) с целью получения формализованных сведений о порядке действий нарушителя (например, MITRE ATT&CK);external sources of data on CA implementation techniques (2.2) in order to obtain formalized information about the offender’s procedure (for example, MITER ATT&CK);

внешние источники о неструктурированных данных о ранее неописанных техниках реализации КА (2.1), например специализированных информационных ресурсов (например SecurityLab.ru, ptsecurity.com, baksdao.com), с целью получения текстового описания реализации КА;external sources of unstructured data on previously undescribed techniques for implementing CA (2.1), for example, specialized information resources (for example, SecurityLab.ru, ptsecurity.com, baksdao.com), in order to obtain a text description of the implementation of CA;

После получения тестового описания реализации КА в модуле обработки неструктурированных данных (2.3) с использованием специализированного программного обеспечения распознавания и анализа текстовых документов обрабатывается, сопоставляется и создается формализованное представление реализации КА в виде последовательности реализуемых уязвимостей.After receiving a test description of the CA implementation in the unstructured data processing module (2.3), using specialized software for recognizing and analyzing text documents, a formalized representation of the CA implementation is processed, compared and created in the form of a sequence of implemented vulnerabilities.

После получения сведений, о составе установленного ПО на каждом ЭИ и порядке его взаимодействия между собой в модуле формирования структуры взаимодействия программного обеспечения (2.6) формируется граф, представляющий процесс преобразования информации на модели взаимодействия открытых систем (МВОС). Вершинами графа являются компоненты ПО на каждом из уровней МВОС, ребрами графа описывают возможные процессы взаимодействия между ПО. Сформированный граф записывается в соответствующую ячейку базы данных.After receiving information about the composition of the installed software on each EI and the order of its interaction with each other, a graph is formed in the module for forming the structure of software interaction (2.6), representing the process of converting information on the open systems interaction model (OSI). The vertices of the graph are the software components at each of the levels of the MVOS; the edges of the graph describe possible processes of interaction between the software. The generated graph is written to the corresponding cell of the database.

После получения сведений о составе ЭИ, физических и логических соединениях этих элементов, в модуле аналитики (1.9) формируется граф отражающий перемещение информации между ЭИ. Сформированный граф записывается в соответствующую ячейку базы данных.After receiving information about the composition of the EI, the physical and logical connections of these elements, a graph is formed in the analytics module (1.9) reflecting the movement of information between the EI. The generated graph is written to the corresponding cell of the database.

После получения сведений о техниках реализации КА (от внешних источников данных о КА и модуля обработки неструктурированных данных) в модуле формирования поверхности атаки (2.7), каждая из техник сопоставляется эксплуатируемым уязвимостям, например:After receiving information about the techniques for implementing the CA (from external data sources about the CA and the unstructured data processing module) in the attack surface generation module (2.7), each of the techniques is compared to the exploited vulnerabilities, for example:

T1138: Application ShimmingT1138: Application Shimming CVE-2019-0863 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-0092 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-0091 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-0090 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-0088 (Microsoft Windows Elevation of Privilege Vulnerability)CVE-2019-0863 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-0092 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-0091 (Microsoft Windows Elevation of Privilege Vulnerability) CVE- 2016-0090 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-0088 (Microsoft Windows Elevation of Privilege Vulnerability) T1144: RootkitT1144: Rootkit CVE-2019-1405 (Microsoft Windows Win32k Elevation of Privilege Vulnerability) CVE-2018-1038 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2018-1037 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-7255 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-7254 (Microsoft Windows Elevation of Privilege Vulnerability)CVE-2019-1405 (Microsoft Windows Win32k Elevation of Privilege Vulnerability) CVE-2018-1038 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2018-1037 (Microsoft Windows Elevation of Privilege Vulnerability) CVE -2016-7255 (Microsoft Windows Elevation of Privilege Vulnerability) CVE-2016-7254 (Microsoft Windows Elevation of Privilege Vulnerability) T1170: MshtaT1170: Mshta CVE-2017-0199 (Microsoft Office/WordPad Remote Code Execution Vulnerability) CVE-2016-3298 (Microsoft Windows Scripting Engine Remote Code Execution Vulnerability) CVE-2016-3297 (Microsoft Windows Scripting Engine Remote Code Execution Vulnerability) CVE-2016-3296 (Microsoft Windows Scripting Engine Remote Code Execution Vulnerability)CVE-2017-0199 (Microsoft Office/WordPad Remote Code Execution Vulnerability) CVE-2016-3298 (Microsoft Windows Scripting Engine Remote Code Execution Vulnerability) CVE-2016-3297 (Microsoft Windows Scripting Engine Remote Code Execution Vulnerability) ) CVE-2016-3296 (Microsoft Windows Scripting Engine Remote Code Execution Vulnerability)

После заполнения баз данных о составе ЭИ, структуре сети, известных уязвимостях, применяемых средств защиты от КА и техник реализации КА, в модуле анализа поверхности защиты (2.6), сформированные ранее графы дополняются и уточняются: After filling out the databases on the composition of the electronic information, the structure of the network, known vulnerabilities, the means of protection against spacecraft used and the techniques for implementing spacecraft, in the protection surface analysis module (2.6), the previously generated graphs are supplemented and clarified:

вершины графа сопоставляются с базой известных уязвимостей и переименовываются согласно классификации CVE (все вершины графа, которым не присвоена нумерация CVE исключаются из графа);graph vertices are compared with a database of known vulnerabilities and renamed according to the CVE classification (all graph vertices that are not assigned a CVE number are excluded from the graph);

вес вершины определяется характеристиками применяемых средств защиты обеспечивающих защиту на определенном уровне МВОС заданного программного обеспечения от КА;the weight of the vertex is determined by the characteristics of the applied protection means that provide protection at a certain level of the MVOS of the given software from the spacecraft;

ребрами графа являются переходы между уязвимостями при реализации известных техник КА.The edges of the graph are transitions between vulnerabilities when implementing known CA techniques.

Далее в модуле аналитики (1.9) с использованием сформированного в модуле анализа поверхности защиты (2.6) графа рассчитывается вероятность реализации каждой из известных КА.Next, in the analytics module (1.9), using the graph generated in the protection surface analysis module (2.6), the probability of implementation of each of the known spacecraft is calculated.

Если рассчитанные значения реализации КА превышают допустимые значения, в модуле аналитики (1.9) формируют предложения по применению дополнительных средств защиты от КА, обновлению применяемого ПО и/или изменению настроек и режимов работы ПО.If the calculated values of the CA implementation exceed the permissible values, proposals are generated in the analytics module (1.9) for the use of additional means of protection against CA, updating the used software and/or changing the settings and operating modes of the software.

На основании собранных внутренними источниками данных об активах (1.3), модуль обогащения профилей ЭИ (1.8) определяет критичность каждого из ЭИ для функционирования ЛЭ и сети в целом.Based on asset data collected by internal sources (1.3), the EI profile enrichment module (1.8) determines the criticality of each EI for the functioning of the power line and the network as a whole.

На основании собранных внешними источниками неструктурированных данных (2.1), внешних источниках данных о техниках реализации КА (2.2) и модуля сбора сведений об установленном ПО (2.4) в модуле обогащения профилей (1.8) формируется базовые профили для каждого ЭИ.Based on unstructured data collected by external sources (2.1), external sources of data on CA implementation techniques (2.2) and a module for collecting information about installed software (2.4) in the profile enrichment module (1.8), basic profiles are generated for each EI.

Модуль управления данных (1.7) обеспечивает нормализацию данных и формирование профиля атрибутного состава ЭИ в зависимости от его типа.The data management module (1.7) ensures data normalization and the formation of a profile of the attribute composition of EI depending on its type.

Модуль интеграции (1.10) обеспечивает взаимодействие с источниками данных.The integration module (1.10) provides interaction with data sources.

Модуль визуализации (1.11) обеспечивает представление обрабатываемых и сохраненных в базах данных в виде таблиц, графиков, виджетов и/или информационных панелей. Модуль визуализации (1.11) также обеспечивает формирование отчетов.The visualization module (1.11) provides a presentation of processed and stored databases in the form of tables, graphs, widgets and/or information panels. The visualization module (1.11) also provides reporting.

Модуль администрирования (1.12), обеспечивающий управление политиками доступа, справочниками, настройками существующих модулей системы и в частности, обеспечивает: управление информацией о пользователях; управление политиками доступа; выдачу токенов для доступа по API; управление словарями (учет подсетей периметра и принадлежность их к территориальному блоку и FW; Словарь программного обеспечения, который формируется по результатам сбора профилей активов и последующим наложением на поступающую трубу CVE).Administration module (1.12), which provides management of access policies, directories, settings of existing system modules and, in particular, provides: management of user information; access policy management; issuing tokens for access via API; management of dictionaries (accounting for perimeter subnets and their belonging to the territorial block and FW; Software dictionary, which is formed based on the results of collecting asset profiles and subsequent overlay on the incoming CVE pipe).

В ходе эксплуатации системы, модуль сбора данных с источников (1.1) по средством передачи управляющих команд с заданной периодичностью на внутренние источники данных об активах сети (1.3) проводит повторную инвентаризацию сети с целью выявлений изменений в структуре сети, добавлению ЭИ и/или установки ПО на ЭИ. В модуле обогащения профиля (1.8) осуществляется сравнение базовых профилей ЭИ с профилями ЭИ подвергшихся изменениям, после чего принимается решение о повторных расчетах в модуле анализа поверхности защиты (2.6), с дальнейшими действиями в модуле аналитики (1.9).During operation of the system, the module for collecting data from sources (1.1) by means of transmitting control commands with a given frequency to internal sources of data about network assets (1.3) conducts a repeated inventory of the network in order to identify changes in the network structure, adding EI and/or installing software on EI. In the profile enrichment module (1.8), the basic EI profiles are compared with the EI profiles that have undergone changes, after which a decision is made on repeated calculations in the protection surface analysis module (2.6), with further actions in the analytics module (1.9).

В ходе эксплуатации системы, модуль сбора данных с источников (1.1) по средством передачи управляющих команд с заданной периодичностью на внешние источники данных об уязвимостях (1.2), внешних источниках неструктурированных данных (2.1) и внешние источники данных о техниках реализации КА (2.2) выявляют изменения в техниках реализации КА и уточняют в модуле формирования поверхности атаки (2.4) исходные данные. Уточненные данные обрабатываются в модуле анализа поверхности защиты (2.6) и передаются в модуль обогащения профиля (1.8) осуществляется сравнение базовых профилей ЭИ с профилями ЭИ подвергшихся изменениям, после чего принимается решение о повторных расчетах в модуле анализа поверхности защиты (2.7), с дальнейшими действиями в модуле аналитики (1.9).During operation of the system, the module for collecting data from sources (1.1) by means of transmitting control commands with a given frequency to external sources of data on vulnerabilities (1.2), external sources of unstructured data (2.1) and external sources of data on CA implementation techniques (2.2) identifies changes in CA implementation techniques and clarify the initial data in the attack surface generation module (2.4). The refined data is processed in the protection surface analysis module (2.6) and transferred to the profile enrichment module (1.8), the basic EI profiles are compared with the EI profiles that have undergone changes, after which a decision is made to re-calculate in the protection surface analysis module (2.7), with further actions in the analytics module (1.9).

Расчет эффективности заявленной системы проводился следующим образом:The efficiency of the claimed system was calculated as follows:

оценка обоснованности проводится путем сравнения коэффициентов Тэйла для системы прототипа и предлагаемой системы [Е.Ю. Пискунов «Модификация коэффициента Тэйла». Электронный журнал «Известия Иркутской государственной экономической академии» №5, 2012 г.]:validity assessment is carried out by comparing the Theil coefficients for the prototype system and the proposed system [E.Yu. Piskunov “Modification of the Theil coefficient”. Electronic journal "News of the Irkutsk State Economic Academy" No. 5, 2012]:

; ;

где P _i и A _i – соответственно предсказанное и фактическое (реализованное) изменение переменной. Коэффициент , когда все P _i = A _i (случай совершенного прогнозирования); , когда процесс прогнозирования приводит к той же среднеквадратической ошибке, что и экстраполяция неизменности приростов; , когда прогноз дает худшие результаты, чем предположение о неизменности исследуемого явления.where P _i and A _i are the predicted and actual (realized) change in the variable, respectively. Coefficient , when all P _i = A _i (case of perfect forecasting); , when the forecasting process leads to the same root-mean-square error as the extrapolation of constant growth; , when the forecast gives worse results than the assumption of the invariance of the phenomenon under study.

Система-прототип при формировании политики безопасности учитывает сведения об известных уязвимостях ЭИ, получаемые от внешних источников данных и конфигурации ЭИ и ЛЭ сети, получаемые от внутренних сканеров безопасности, т.е. P _i.=3, A _i=3. Таким образом, предсказанные значения будут соответствовать фактическим только в этом случае и значение коэффициента Тэйла будет меньше единицы и стремиться к нулю:When forming a security policy, the prototype system takes into account information about known EI vulnerabilities received from external data sources and EI and LE network configurations received from internal security scanners, i.e. P _i .=3, A _i =3. Thus, the predicted values will correspond to the actual ones only in this case and the value of the Theil coefficient will be less than one and tend to zero:

Предлагаемая система дополнительно обрабатывает и оценивает сведения о реализации КА полученные от внешних источников данных о реализации КА и неструктурированных данных, а также данные о взаимосвязи программного обеспечения установленного на каждом ЭИ, т.е. P _i.=3, A _i=6.The proposed system additionally processes and evaluates information on the implementation of the spacecraft received from external sources of data on the implementation of the spacecraft and unstructured data, as well as data on the relationship of the software installed on each EI, i.e. P _i .=3, A _i =6.

Исходя из этого коэффициента Тэйла примет следующее значение:Based on this coefficient, Theil will take the following value:

Далее производим сравнение рассчитанных коэффициентов Тэйла для прототипа и заявленной системы:Next, we compare the calculated Theil coefficients for the prototype and the proposed system:

Из произведенного сравнения рассчитанных коэффициентов Тэйла для системы-прототипа и заявленной системы, следует вывод, что обоснованность формирования политики безопасности корпоративной сети связи заявленной системы выше, чем у прототипа, что подтверждает достижение заявленного технического результата.From the comparison of the calculated Theil coefficients for the prototype system and the claimed system, it follows that the validity of the formation of a security policy for the corporate communication network of the claimed system is higher than that of the prototype, which confirms the achievement of the stated technical result.

Claims

Система контроля политики безопасности элементов корпоративной сети связи, состоящая из: модуля сбора данных, позволяющего получать сведения от внешних источников данных об известных уязвимостях элементов инфраструктуры и внутренних источников данных об активах инфраструктуры сети связи; средства хранения информации, позволяющего формировать и хранить группу структурированных данных; модуля управления данных, позволяющего нормализовать данные, собираемые модулем сбора данных, обеспечивая формирование унифицированного вида данных и формирование атрибутного состава в зависимости от типа элемента инфраструктуры, а также формирование профиля элемента инфраструктуры, содержащего атрибутный состав элемента инфраструктуры; модуля обогащения профилей элементов инфраструктуры, выполненного с возможностью дополнения атрибутного состава профиля элемента инфраструктуры информацией, включающей в себя: информацию о возможности сетевого взаимодействия между активами инфраструктуры, на основании данных правил безопасности, а также правил трансляции и маршрутизации, определенных на сетевых элементах инфраструктуры; найденные уязвимости активов инфраструктуры; данные о критичности функционирования логических элементов инфраструктуры; сведения о выявленных рисках, а также мероприятиях по их устранению; модуля аналитики, позволяющего учитывать, анализировать и осуществлять мониторинг внешнего периметра сетевой инфраструктуры; поиска по атрибутному составу профилей активов; анализа необработанных данных, поступающих из источников данных управления рисками по найденным уязвимостям; поиска и анализа сетевых маршрутов между активами инфраструктуры для определения возможных путей распространения угрозы; расчета критичности уязвимого актива инфраструктуры за счет определения влияния уязвимостей на сетевую инфраструктуру и ее функционирование, а также режимом устранения уязвимостей, при котором выявляются активы инфраструктуры для устранения найденных на них уязвимостей; модуля визуализации, обеспечивающего графическое представление обрабатываемых данных, а также формирование виджетов и/или отчетов и/или информационных панелей; модуля администрирования, обеспечивающего управление политиками доступа, справочниками, настройками существующих модулей системы; модуля интеграции, обеспечивающего передачу в унифицированном формате данных о компьютерных атаках во внутреннюю инфраструктуру, и обеспечивает связь с внутренними источниками данных, отличающаяся тем, что: модуль сбора данных дополнительно позволит получать сведения от внутренних источников данных о составе и режимах работы средств защиты от компьютерных атак, внешних источников неструктурированных данных о ранее неописанных техниках реализации компьютерных атак и внешних источников данных об известных техниках реализации компьютерных атак; модуль обработки неструктурированных данных позволяет за счет применения алгоритмов анализа текста выделять и формировать ранее неописанные техники реализации компьютерных атак из неструктурированных данных, расположенных на специализированных информационных ресурсах; модуль сбора сведений об установленном программном обеспечении осуществляет инвентаризацию установленного программного обеспечения на каждом средстве обработки, хранения и передачи информации, включая: перечень программного обеспечения, версии программного обеспечения, версии полученного обновления программного обеспечения, общих занимаемых кластеров в долговременной и оперативной памяти, общих протоколов взаимодействия и общих файлов; модуль формирования структуры взаимодействия программного обеспечения между собой, позволяющего на основе определения общих занимаемых кластеров в долговременной и оперативной памяти, общих протоколов взаимодействия и общих файлов определить возможность взаимодействия между собой; модуль анализа поверхности защиты, позволяющий сопоставить известные уязвимости элементов инфраструктуры сети и применяемые средства защиты от компьютерных атак; модуль формирования поверхности атаки, позволяющий на основе известных и сформированных техник реализации компьютерных атак определить возможные траектории реализации компьютерных атак, сопоставить их с поверхностью защиты, определить возможность реализации каждой из известных атак; модуль администрирования дополнительно осуществляет формирование предложений по изменению политики безопасности, дополнения применяемых средств защиты, обновления применяемого программного обеспечения и/или изменения его настроек и конфигурации.A system for monitoring the security policy of corporate communication network elements, consisting of: a data collection module that allows you to obtain information from external data sources about known vulnerabilities of infrastructure elements and internal data sources about communication network infrastructure assets; information storage tools that allow you to create and store a group of structured data; a data management module that allows you to normalize the data collected by the data collection module, ensuring the formation of a unified type of data and the formation of an attribute composition depending on the type of infrastructure element, as well as the formation of a profile of an infrastructure element containing the attribute composition of an infrastructure element; module for enriching profiles of infrastructure elements, configured to supplement the attribute composition of the profile of an infrastructure element with information, including: information about the possibility of network interaction between infrastructure assets, based on these security rules, as well as translation and routing rules defined on network infrastructure elements; identified vulnerabilities of infrastructure assets; data on the criticality of the functioning of logical infrastructure elements; information about identified risks, as well as measures to eliminate them; an analytics module that allows you to take into account, analyze and monitor the external perimeter of the network infrastructure; search by attribute composition of asset profiles; analysis of raw data coming from risk management data sources on identified vulnerabilities; search and analysis of network routes between infrastructure assets to determine possible ways of spreading a threat; calculating the criticality of a vulnerable infrastructure asset by determining the impact of vulnerabilities on the network infrastructure and its functioning, as well as the vulnerability elimination regime, in which infrastructure assets are identified to eliminate the vulnerabilities found on them; a visualization module that provides a graphical representation of the processed data, as well as the generation of widgets and/or reports and/or information panels; an administration module that provides management of access policies, directories, and settings of existing system modules; an integration module that ensures the transmission of data on computer attacks in a unified format to the internal infrastructure, and provides communication with internal data sources, characterized in that: the data collection module will additionally allow you to receive information from internal data sources about the composition and operating modes of protection against computer attacks , external sources of unstructured data on previously undescribed techniques for implementing computer attacks and external sources of data about known techniques for implementing computer attacks; the unstructured data processing module allows, through the use of text analysis algorithms, to identify and generate previously undescribed techniques for implementing computer attacks from unstructured data located on specialized information resources; the module for collecting information about installed software carries out an inventory of installed software on each means of processing, storing and transmitting information, including: a list of software, software versions, versions of the received software update, common occupied clusters in long-term and RAM, general interaction protocols and shared files; module for forming the structure of software interaction with each other, which allows, based on determining the common occupied clusters in long-term and RAM, common interaction protocols and common files, to determine the possibility of interaction with each other; a protection surface analysis module that allows you to compare known vulnerabilities of network infrastructure elements and applied means of protection against computer attacks; an attack surface generation module, which allows, based on known and developed techniques for implementing computer attacks, to determine possible trajectories of computer attacks, compare them with the defense surface, and determine the possibility of implementing each of the known attacks; The administration module additionally generates proposals for changing the security policy, supplementing the applied protection tools, updating the applied software and/or changing its settings and configuration.