Мониторинг, анализ и управление ИБ. Часть 2

Мониторинг, анализ и управление ИБ

Часть 2

Михаил Башлыков, руководитель направления информационной безопасности компании КРОК

Как сделать правильный выбор?

Как из всего многообразия систем мониторинга и управления информационной безопасностью (ИБ) выбрать именно то, что вам нужно? Это действительно актуальный вопрос, ведь хотя SIEM-системы и сочетают в себе функционал SIM- и SEM-решений, в подавляющем большинстве они имеют большее тяготение к одному из них, попутно реализуя другой. К тому же выбор часто зависит от сферы деятельности компании.

Прежде чем выбрать систему, необходимо определить критерии, подходящие для большинства компаний, по которым можно осуществлять сравнение. В первую очередь это возможности по сбору событий ИБ. Основным критерием, характеризующим данные возможности, является полнота перечня поддерживаемых сетевых и телекоммуникационных устройств, приложений, систем безопасности. Перечень должен быть максимально полным и соответствовать потребностям компании. Немаловажной характеристикой возможностей по сбору событий является простота добавления новых приложений, систем и устройств в перечень поддерживаемых. Большинство SIEM-решений ориентировано на гетерогенные и распределенные ИТ-инфраструк-туры и обладают довольно большим перечнем поддерживаемых устройств и приложений. Если же сравнить системы, представленные в России, то к ним можно отнести Symantec Security Information Manager, IBM Tivoli Security Operations Manager, netForensics Open Security Platform (Cisco SIMS). Следует отметить, что Cisco MARS не обладает возможностями развертывания в гетерогенной среде, так как преимущественно ориентирован на поддержку оборудования от одного производителя -Cisco, поэтому в дальнейшем сравнении рассматриваться не будет. Для сравнения выбраны именно эти системы, так как они являются лидерами рынка и наиболее известны в России.

Интеллектуальный разбор и корреляция событий ИБ

Наиболее значимыми в работе SIEM-систем являются возможности по интеллектуальному разбору событий ИБ и их корреляции, которые характеризуются наличием функции приоритетности событий с учетом характеристик ценности ресурсов, задействованных в событии, учета их уязвимо-стей, назначения, а также распространяющихся на них правил и политик безопасности. Механизмы указания характеристик ресурсов должны отражать их ценность с точки зрения нарушения конфиденциальности, целостности и доступности. Одним из важных критериев оценки возможностей интеллектуального разбора и корреляции событий ИБ является наличие предустановленных базовых оценок значимости событий и правил корреляции с возможностью их корректировки.

Следует отметить, что netForensics OSP и IBM TSOM обладают меньшими возможностями в части предустановленных правил и механизмов корреляции как количественно, так и качественно, в сравнении с Symantec SIM.

Расследование и анализ инцидентов ИБ

Предоставление инструментария для расследования и анализа инцидентов ИБ является одной из приоритетных задач, реализуемых SIEM-си-стемами. Базовыми критериями для характеристики данного функционала является наличие предустановленных запросов для выборки событий об использовании информационных ресурсов, деятельности пользователей, изменения настроек и конфигурации, а также событий от систем обеспечения безопасности, хостов, серверов, приложений, телекоммуникационного оборудования. В части возможностей по расследованию и анализу инцидентов наиболее полнофункциональными являются Symantec SIM и netForensics OSP, которые помимо предустановленных запросов имеют возможность по их визуализации. Однако IBM TSOM не обладает возможностями по визуализации запросов к хранилищу и не содержит предустановленных фильтров активностей.

Процесс управления инцидентами ИБ

Финальным этапом работы любой SIEM-системы является ответное реагирование на обнаруженные инциденты, которое в Symantec SIM и netForensics OSP сводится к простому информированию администратора безопасности. В отличие от них, IBM TSOM позволяет осуществлять выполнение активных действий, связанных с изменением конфигурации оборудования, запуска приложений и т.п. Основным критерием ответного реагирования является количество способов информирования (консоль, почта, SNMP и т.п.), а также количество и качество предустановленных активных ответных действий.

После обнаружения инцидента ИБ остро встает задача, что с ним надо делать. Решением является организация и документация процесса идентификации, обработки, закрытия, хранения и удаления инцидентов. Целиком процесс управления инцидентами ИБ реализован в Symantec SIM. Решение netForensics OSP также содержит модуль управления инцидентами, однако его идентификация (создание) осуществляется вручную. В IBM TSOM понятие инцидента вовсе отсутствует, его роль выполняют так называемые метасобытия. Механизмов отдельного управления ими в IBM TSOM нет.

Существующие в системе механизмы должны помогать как техническим специалистам, так и руководству осуществлять контроль над выполнением политик и требований безопасности. Для этого в системе должны быть предустановлены правила и механизмы контроля соблюдения лучших практик и отраслевых стандартов, а также требований законодательства. Подавляющее большинство SI-EM-решений осуществляют контроль соответствия ИТ-ин-фраструктуры и уровня ИБ на соответствие зарубежному законодательству и стандартам: FISMA, SOX, GLBA, HIPAA, COBIT, ISO 17799, PCI.

Отчеты о состоянии ИБ

Важным функционалом SIEM-системы является возможность составления отчетов о состоянии ИБ, расследовании инцидентов и т.п. для среднего и высшего руководящего звена, а также владельцев защищаемых информационных ресурсов и бизнес-процессов в целом. Для того чтобы механизм эффективно работал, необходимо наличие предустановленных форм и заготовок отчетов, которые кастомизируются и составляются в соответствии с правилами и требованиями политик компании. Наиболее полный и удобный функционал по составлению отчетов предоставляют системы Symantec SIM и netForensics OSP. Системы обладают широкими возможностями по визуализации информации из хранилища и большим перечнем предустановленных к нему запросов, из которых можно формировать отчет определенного формата и вида. IBM TSOM имеет ряд предустановленных отчетов и обладает механизмом, позволяющим генерировать отчеты любого содержания и формата, однако в решении отсутствует перечень предустановленных выборок и запросов в хранилище.

Дополнительные возможности

Помимо всего остального хочется отметить еще ряд дополнительных возможностей SIEM-систем. Это механизмы анализа и контроля пользовательской активности и доступа, механизмы управления хранилищем, база знаний по инцидентам и событиям, а также поддержка и учет данных об уязвимостях ресурсов при определении приоритизации и корреляции.

Критериями выбора системы в части контроля доступа пользователей к ресурсам могут являться наличие адекватных и полезных в использовании механизмов выделения и анализа событий доступа пользователей к ресурсам, ОС и ресурсам корпоративной информационной системы, модификации пользовательских данных, изменения конфигурации, настроек и состояния приложений, ОС и приложений.

На практике SIEM-системы собирают всю информацию, поэтому данные о пользовательской активности также находятся в хранилище, но они должны как-то выделяться из общего перечня.

Однако для полноценного контроля действий пользователей все же требуется дополнительная разработка. Дополнительные преимущества по анализу пользовательской активности системы достигаются в случае их интеграции с IDM-си-стемами (Identity and Access Management).

Реализация базы данных

Вся собранная и проанализированная в ходе работы системы информация должна передаваться в базу данных (хранилище), которая должна как обеспечивать долговременное и компактное хранение, так и предоставлять возможности по быстрому и гибкому поиску нужной информации.

Существует несколько базовых подходов к реализации хранилища. К примеру, ряд одних систем (netForensics OSP, IBM TSOM) использует промышленную СУБД, ряд других (Symantec SIM) - оптимизированную, поставляемую совместно с решением СУБД. Какой из этих подходов лучше или хуже, судить сложно, однако критерием, характеризующим систему SIEM, является наличие возможности по управлению хранилищем (позволяющее осуществлять простое выполнение настроек функций архивирования и резервного копирования), а также его расширения (здесь подразумевается отсутствие выделенного администратора СУБД). Если сравнивать Symantec SIM, netForensics OSP, IBM TSOM, то в первых двух системах реализованы достаточно мощный интерфейс и механизмы управления хранилищем, а в IBM TSOM администраторы И Б будут вынуждены часто обращаться к администратору СУБД.

При проведении расследований инцидентов или исследований отдельных событий достаточно полезным инструментом является база знаний, содержащая описание известных системе событий и инцидентов ИБ, рекомендаций и советов о том, что с ними делать и как на них реагировать. Такие базы знаний есть у большинства производителей, они поставляются вместе с системой или публикуются online.

"Подводные камни"

Процесс внедрения SIEM-си-стем и их эффективность очень сильно зависят от того, насколько тщательно проведена инвентаризация ИТ-инфра-структуры (типы устройств, версии и точные наименования аппаратно-программных средств), а также от наличия четких требований с точки зрения необходимых функциональных свойств системы мониторинга и четкой схемы ранжирования отдельных ресурсов по степени их важности и критичности для бизнеса компании.